マイナンバーの安全管理措置を的確に実装するための勘所と、 そ … ·...
TRANSCRIPT
1
2015年9月、マイナンバー法改正案が成立し、全国の企業、地方自治体で対応に向けた動きが本格化している。多くの組織が直面している課題は、いかにして短い期間で必要な安全管理措置を把握し、的確に実装するかということだ。そのポイントと、効果的に作業を進めるうえで有効なツールおよい活用例を日本オラクルのスペシャリストらに聞いた。
マイナンバー法と個人情報保護法の改正案が成立。対応に向けた動きがさらに加速
2015年9月3日、「個人情報の保護に関する法律及び行政手続きにおけ
る特定の個人を識別するための番号の利用法に関する法律の一部を改
正する法律案(通称:改正マイナンバー法)」が「改正個人情報保護法」と
ともに衆議院本会議にて可決、成立した。10月からは12ケタのマイナン
バーを記した「通知カード」の郵送開始が予定され、いよいよマイナン
バー活用への動きが加速しようとしている。
ただし、多くの組織の取り組み状況を見ると、必ずしも対応作業がス
ムーズに進んでいるわけではないようだ。本資料では、残された短い期
間で関連する情報システムのマイナンバー対応を確実かつ効率的に進め
るうえでのポイントと、それらのポイ
ントを抑えながら手戻りなく確実に作
業を進めるために日本オラクルが提
供している「マイナンバーテンプレー
ト」の概要および活用事例を前後編
の2回にわたって紹介する。
今 回、可 決され た 改 正 マイナン
バー法について、日本オラクルでマイ
ナンバー関連のソリューション企画に
携わる下道高志氏(製品戦略統括本
部 営業推進本部 テクノロジーディレ
クター 工学博士)は次のように説明する。
「この法改正の大きなポイントは、個人情報保護法とマイナンバー法
の関係が明確になったという点でしょう。『特定個人情報』であるマイナ
ンバーは、個人情報保護法が対象とする個人情報の上位に位置付けら
れました。これまでは個人情報保護法の下、各省庁や地方自治体が個
別に法令や条例を作って運用してきましたが、今後は2016年1月に発足
する『個人情報保護委員会』の管轄の下、各省庁や地方自治体はマイナ
ンバー法と個人情報保護法の整備/運用を一体として進めていくことに
なると思われます」
なお、マイナンバー管理のあり方を示した「特定個人情報保護評価指
針の解説※1」が公開されたのは2014年4月(同年11月11日改正)、「特定
個人情報の適正な取扱いに関するガイドライン(以下、ガイドライン)※2」
が事業者向け、および行政機関/地方公共団体向けに公開されたのは
同年12月(行政機関/地方公共団体向けは2015年10月改正)である。
「Q&A形式にまとめられたガイドラインのFAQ集も随時更新されてい
ますが(最新は2015年9月)、各省庁が規定する特定個人情報データをや
り取りするための標準データ形式(特定個人情報データ標準レイアウト)
の公開が始まったのは今年3月であり、多くの自治体はこれらを踏まえた
条例改正をまだ進めている段階にあります。したがって、業務運用の変
日本オラクル 製品戦略統括本部 営業推進本部 テクノロジーディレクター 工学博士の下道高志氏
特別企画 マイナンバー対応を抜け漏れなくスピーディに! 前編
マイナンバーの安全管理措置を的確に実装するための勘所と、それを手戻りなく短期間で実現する方法とは?
マイナンバー対応主要スケジュール 改正個人情報保護法ではマイナンバーの位置付けが明白に
※1 http://www.ppc.go.jp/enforcement/assessment/description/※2 http://www.ppc.go.jp/legal/policy/
2
更や情報システムのマイナンバー対応にまでは十分に手が回っていない
ところもあると思われます」(下道氏)
つまり、10月の施行段階ではシステム対応が完了していない企業や自
治体が少なくないと見られる。これらの企業や自治体では、当初は文書
ベースでマイナンバー管理/運用に対応しつつ、システム対応を急ピッ
チで進めていくことになるだろう。
マイナンバー対応を短期間で 効率的に行うための3つの勘所
短期間で効果的にマイナンバー対
応を果たすためには、いくつかの重
要なポイントがあると話すのは、日本
オラクルでデータベースセキュリティ
ソリューションを担当する大澤清吾氏
(製品戦略統括本部 プロダクトマーケ
ティング本部 Cloud & Big Data推進
部 シニアマネージャー)だ。
「日本オラクルは現在、多くの組織
のマイナンバー対応をご支援してい
ますが、それらのプロジェクトを通じ
て得た経験から、確実かつ効率的に作業を進めるうえで大きく3つのポイ
ントがあると考えています。
1つ目は、マイナンバーをシステム上でどのように格納/管理し、それ
に各業務担当者がどうアクセスするのかを明確に把握することです。な
ぜなら、それによって安全管理措置の実装形態が異なってくるためです。
これはマイナンバー対応におけるセキュリティ施策の要となる部分であ
り、留意すべき点でもあります」(大澤氏)
ガイドラインでは、業務の中でマイナンバー(特定個人情報)を扱う者
を「個人番号利用事務実施者(主に行政機関)」や「個人番号関係事務実
施者(主に民間企業)」と呼び、マイナンバーを扱わない者と明確に区別
している。また、マイナンバーを扱うシステムと扱わないシステムも明確
に区分けすることが求められる。具体的には、マイナンバーを格納した
データベースファイルなどは「特定個人情報ファイル」として安全管理措
置の対象になる。このとき、その対象範囲について十分な注意が必要だ。
大澤氏が指摘する2つ目のポイントは、短い期間の中で人事部や経理
部、セキュリティ担当部門、IT部門など多くの関連部署が密接に連携して
作業を進める必要があるということで、これがマイナンバー対応プロジェ
クトを難しくしている点でもある。
「ガイドラインは大部のドキュメントですが、この中で規定されている事
項を十分に理解して進めなければ、抜けや漏れが生じて手戻り発生する
恐れがあります。その場合、スケジュールはさらにひっ迫するでしょう。そ
れを避けるには、各部署の担当者がガイドラインの内容を理解して合意
を形成したうえでプロジェクトを進めることが非常に重要です」(大澤氏)
最後のポイントは、多くの組織が、現在は条例策定や業務運用の変更
などIT施策への落とし込みの前段となる作業に追われている状況であり、
明確なビジネス要件が固まってIT側に下りてくるまでに、まだ時間がかか
るということだ。
「このような状況の中で、IT部門側が今、何をすべきかと言えば、きちん
とした“器”を作って準備しておくことです。その参考になるものとして、す
でにガイドラインの中で安全管理措置が示されているので、それに準じ
たシステムを作ればよいのです」(大澤氏)
マイナンバーを格納した特定個人情報ファイルの範囲に注意! 大澤氏が指摘する3つのポイントの中でも、特に注意を要するのが特
定個人情報ファイルの対象範囲と、そのアクセス制御である。これについ
て少し補足しておきたい。
例えば、企業が運用する従業員の給与情報データベースについて考え
てみよう。企業は従業員から徴収した所得税や社会保険料などを納付す
る都合から、これらをマイナンバーとひも付けて管理する。このとき、給
与情報データベースに従業員のマイナンバーを格納していなければ、給
与情報データベースファイルは特定個人情報ファイルには当たらないと
考えるかもしれない。
しかし、給与情報データベースからマイナンバーを格納したデータベー
ス(以下、マイナンバーデータベース)に社員番号などをキーにしてアク
セスできる場合、システム的には連携しているため、給与情報データベー
スはマイナンバーデータベースとセットで特定個人情報ファイルと見なさ
れ、安全管理措置の対象となる。また、会計業務アプリケーションなどを
使って給与情報データベースを参照しながら業務を行う経理担当者は、
全員が個人番号関係事務実施者となる。
この状態は、次の点で好ましくないと言える。
●マイナンバーが格納されていない給与情報データベースも安全管理措
置の対象となる
●会計業務アプリケーションの画面/帳票にはマイナンバーが表示/印
刷されず、業務でマイナンバーを見ることのない経理担当者も個人番
号関係事務実施者の扱いを受ける
これらのことは、マイナンバー対応のためのセキュリティ施策の対象範
囲を拡大させるほか、業務運用上も制約や不都合をもたらす可能性があ
る。当然、企業は「マイナンバーデータベースへのアクセスを必要最小限
にとどめることでセキュリティを強化し、特定個人情報ファイルの対象範
囲を最小化して業務への影響を抑えたい」と考えるだろう。
日本オラクル 製品戦略統括本部 プロダクトマーケティング本部 Cloud & Big Data推進部 シニアマネージャーの大澤清吾氏
マイナンバー法における特定個人情報ファイルの扱い
3
その場合、つまり給与情報データベースを特定個人情報ファイルの対
象外としたければ、下図に示すように給与情報データベースからマイナ
ンバーデータベースへのアクセスを制御し、個人番号関係事務実施者の
業務だけで参照できるようにすればよい。
的確かつ迅速なマイナンバー対応を実現する テンプレートを無償提供
以上のポイントは、実際のマイナンバー対応プロジェクトの支援を通じ
て日本オラクルが蓄積したノウハウの一部だが、マイナンバー対応に取り
組む全ての組織の担当者が、こうしたポイントを把握しているわけではな
い。全国の事業者、自治体が同時並行で対応作業を進めているというこ
とは、各組織が取り組みを進めるにあたって参考となる前例がないことを
意味する。どのように進めれば短期間で的確に対応できるのか、思案に
暮れている担当者も少なくないだろう。
そうした組織のマイナンバー対応を支援すべく、日本オラクルは「マイ
ナンバー・スタートアップ・テンプレート」を無償で提供している(地方自
治体向けについては、今年7月にプレスリリースで公表)。これは、全国の
事業者、行政機関、地方自治体を対象に、マイナンバー制度の安全管理
措置で求められる要件と施策の整理、データセキュリティ対策の検討と実
装を支援するサービスであり、次のような内容で構成される。
●「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地
方公共団体等編)、(事業者編)※3」を順守しながら、関連する担当部署
ごとに求められる施策を整理するためのヒアリングシートと、データベー
スにおける特定個人情報の安全な取り扱いを実現するための5つのテ
ンプレート
●利用する「OracleDatabase」のセキュリティ対策状況を確認/可視化
する「セキュリティアセスメントサービス」
これらを活用することで、マイナンバー対応のプロセスを的確かつ効
率的に進められるようになる。また、既存システムのセキュリティ対策を
強化する目的で利用することも可能だ。それにより、効果的なデータベー
スセキュリティ対策を短期間で実装することができる。
安全管理措置で求められる 「暗号化」「アクセス制御」「監査」の迅速導入を支援
マイナンバー・ スタートアップ・ テンプレートの核となるのは、下図に
示す5つのテンプレートとヒアリングシート(以下、マイナンバーテンプ
レート)だ。
マイナンバーテンプレートには、日本オラクルのセキュリティコンサル
タントらが公共機関や企業のマイナンバー対応を支援する中で蓄積した
ノウハウと知見が凝集されている。これらを使うことで、大澤氏が挙げた
3つのポイントにも考慮しながら、マイナンバー対応の作業を速やかに進
められるのである。
このうち、1 ~ 3 はガイドラインにおける「特定個人情報に関する安全
管理措置」で示されている3つの安全管理措置※4に対応したものであり、
「アクセス制御」「監査」「データ暗号化」をカバーしている。その実体は、
オラクルが提供する次の3つのセキュリティソリューションの実装テンプ
レートだ。
●Oracle Database Vault:データベースアクセス制御ソリューション。
データベース管理者など特権ユーザーによるマイナンバーデータなどの
機密データへのアクセスも厳格かつ詳細にコントロールすることで、安
全管理措置で求められるアクセス制御を実現するとともに、内部犯行や
標的型攻撃による情報漏えいを防止する
●Oracle Audit Vault and Database Firewall:データベース監査ソ
リューション。データベースを含むシステム全体のアクセス証跡を記録/
管理し、レポートやアラートを活用して不正アクセスを検知/発見する
●Oracle Advanced Security Transparent Data Encryption:データ
暗号化ソリューション。既存アプリケーションの変更なしでデータベース
の高速な暗号化/復号化を実現する
「3つのテンプレートは、データベースのアクセス制御、監査、暗号化の
各ソリューションを短期間で導入するための情報をまとめたもので、導入
後の設定を適切に行うためのサンプルスクリプトや運用手順書も含ま
れています。もともとは企業の情報セキュリティで重大な脅威となって
いる内部犯行対策の支援を目的に作成したものです。内部犯行対策でも、
アクセス制御や監査、データベース暗号化といったデータベースセキュリ
マイナンバー法における特定個人情報ファイルの扱い
オラクルが提供するマイナンバーテンプレート
※3 http://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000120230※4 ガイドラインの「C 電子媒体等を持ち出す場合の漏えい等の防止」に対応した物理
的安全管理措置と、「a アクセス制御」「d 情報漏えい等の防止」に対応した技術的安全管理措置。詳しくは本資料末尾に掲げた関連記事「全ての企業が対応必須: DBセキュリティ見直しにも影響するマイナンバー安全管理の 要件”と 盲点”」を参照。
日本オラクル株式会社〒107-0061 東京都港区北青山2-5-8 オラクル青山センターoracle.com/jp
お問い合わせ窓口
*OracleとJavaは、Oracle Corporationおよびその子会社、関連会社の米国およびその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright© 2015, Oracle and/or its affiliates. All rights reserved.
TEL 0120-155-096 URL http://www.oracle.com/jp/direct/
ティ対策が肝になりますが、これはマイナンバー対応でも同様です。いず
れのソリューションもすでに世界中で多くの実績を持ち、その有効性は実
証されています。それらを迅速に導入し、すぐに使える状態にできるとい
う点が、3つのテンプレートを使う非常に大きな利点です」(大澤氏)
ガイドラインに対応したヒアリングシートで 必要なセキュリティ施策を抜け漏れなく検討
一方、前掲の図中の 4 、5 は、マイナンバー対応支援のために日本オラ
クルのコンサルタントが新たに作成したものだ。このうち、4 のテンプレー
トでは、マイナンバーを格納するデータベースに対するアクセス制御対策
の設定手順と、安全管理措置を実現する監査/暗号化の設定手順をまと
めている。これを 1 ~ 3 のテンプレートとともに使うことで、上述した各ソ
リューションをマイナンバー対応の目的で速やかに導入することができる。
また、5 のヒアリングシートは、ガイドラインに沿って関連する各部署
/担当者が必要な検討と対策を抜け漏れなく進めるためのものだ。この
ヒアリングシートでは、ガイドラインの主要な記載内容が整理/細分化
されており、それぞれの内容について各担当者にヒアリングすべき事項、
検討すべきIT施策を把握できるようになっている。
「お客様の中には、ガイドラインで示された安全管理措置を自社システ
ムにどう実装すべきかでお悩みの方が少なくありません。そうした場合
は、ヒアリングシートをお使いいただくことで、それぞれの部署/役割の
方が業務の中でマイナンバーをどのように扱い、それに応じて情報シス
テム側でどういった対策を施すべきかを速やかに把握し、検討を進める
ことができます」(大澤氏)
例えば、先に特定個人情報ファイルへのアクセス制御で触れたような
システム/データベースの内部的な参照関係は、給与帳票などを見ただ
けでは全てがわからず、経理部門などの業務担当者も把握していない
ケースがほとんどだろう。その状態のままでマイナンバー対応を進めた
場合、抜けや漏れが生じ、大きな手戻りが発生する可能性がある。
「マイナンバー対応の取り組みで鍵となるのは、マイナンバーがどのよう
な業務でどう使われるのかを明確にするとともに、その背後でシステム/
データベースがどのように連携するのかを把握し、必要な安全管理措置を
講じることです。ヒアリングシートを使うことで、その作業に必要な情報を
各部署へのヒアリングを通じて明らかにし、採るべき施策を抜け漏れなく
検討できます。そのうえでテンプレートをご活用いただくことで、安全管理
措置に準拠した実装を短期間で実現することができるのです」(大澤氏)
日本オラクルは現在、多くの組織のプロジェクトでマイナンバーテンプ
レートを活用し、的確かつ速やかなマイナンバー対応を支援している。
後編では、実際にそれらのプロジェクトで同テンプレートがどのように活
用されているのかを紹介する。
スタートアップ・テンプレート オーバービュー マイナンバー対応向けDBセキュリティヒアリングシート
【関連情報】◆ ニュースリリース「日本オラクル、自治体におけるマイナンバー対応を支援するテンプレートの無償提供を開始」 >> https://www.oracle.com/jp/corporate/pressrelease/jp20150721.html◆オラクルのデータベースセキュリティ >> http://www.oracle.com/jp/products/database/security/
【関連記事】◆ 全ての企業が対応必須:DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点” >> http://www.atmarkit.co.jp/ait/articles/1501/19/news028.html◆現場が実践すべきセキュリティ対策のポイントは?:ガイドライン策定者の解説で理解する「マイナンバー制度」対策と「技術的安全管理措置」 >> http://www.atmarkit.co.jp/ait/articles/1504/27/news008.html◆ 特権ユーザーによる内部犯行を効果的に防ぎ、万一の際のトレーサビリティを確保する: 攻めと守り”で固めるデータベースセキュリティ──「Oracle Database Vault」と「Oracle Audit
Vault and Database Firewall」 >> http://www.atmarkit.co.jp/ait/articles/1509/04/news005.html◆ 先進データベース技術が地域医療連携をさらに加速する: わずか1分で移行! 佐世保中央病院がOracle GoldenGateで電子カルテの基幹DBをスピード移行。データ暗号化、先進監査機構
でセキュリティも強化 >> http://www.atmarkit.co.jp/ait/articles/1507/13/news005.html