事業所の中でマイナンバーの取り扱いを伴う作業を行う場合には内閣府のガイドラインなどをみると、組織的、人的、物理的、技術的など安全管理措置を施すように指示されている。ソフトウェアの脆弱性問題は、このうち技術的安全管理措置に関係する問題である。

「技術的安全管理措置」はマイナンバーをパソコンで処理する際に留意すべき「情報セキュリティ対策」のことと考えればよい。

事業所全体の情報セキュリティは、体系的なマネジメントシステムの確立によって維持すべきもので、その仕組みが構築されれば、「Ｐマーク」や「ＪＡＰｉＣＯマーク」などのJIS Q 15001 による第三者認証を取得することも可能となり、そのマネジメントシステムの一環として使用するパソコンのセキュリティ対策が求められる。マイナンバーに関わる安全管理措置ではマネジメントシステムの確立までは必須要件としていないが、使用するパソコンについては厳重なセキュリティ対策を求めている。ただし、過剰な対策は事業所への無駄な負担ができるので、適正な対策を考える必要がある。

技術的安全管理措置は、作業者がどの業務を行う権限があるかをコントロールする「アクセス制御」、権限がある作業者かどうかを識別して業務に当たらせる「アクセス者の識別と認証」、サイバー攻撃などの外部からの不正な侵入を防ぐ「外部からの不正アクセス等の防止」、マイナンバー付きの情報を外部に送信する際に情報漏えいを防ぐ「情報漏えい等の防止」の4つの対策を例示している。

脆弱性ソフトの使用を公表して使用を避けるように注意を促す経済産業省の新しい方針は、「外部からの不正アクセス等の防止」と深く関わっている。

インターネットを通じた外部からの攻撃に情報システムを守るには、基本的にはファイアウォールの設置やセキュリティ対策ソフトウエアの導入、ソフトウエア自動更新機能の活用、ログ解析による不正アクセス検出などの手法が例示されている。さらに今回示されたように、リスクの高い脆弱性を抱えるソフトウェア情報に注意して、リスクが発見されたソフトウェアの使用を中止することなどが義務ではないが、安全措置としては考慮する必要がある。

また、情報システム内に保存しているマイナンバー付きの特定個人情報に対しては、結果としてデータが流出した際にも内容が解読しにくいような暗号化措置やパスワードの設定も手段としては効果がある。最近注目されている「秘密分散」といった情報技術の採用も有効な手段になる。


【 筆者＝JAPiCO理事長　中島洋 】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization