マイナンバー漏えい防止にエンジニアが考えたいセキュリティ対策

マイナンバー


「マイナンバー特需」と呼ばれるように2016年から本格運用が開始され始めたマイナンバー制度を巡って、既に対応を終えた企業もあれば今まさに対応しているという企業もあり、混沌の様相を呈しています。

企業によってマイナンバーの取り扱いに対する考え方は様々ですが、厳しい罰則規定が設けられている上に、今後個人情報の代表格とも言える存在になることが予想されるため、漏えいはあってはならないことです。そこで今回はそんなマイナンバーの概要を解説したのち、エンジニアが考えたいマイナンバー漏えい防止のためのセキュリティ対策をご紹介します。

マイナンバー制度とは

マイナンバーとは、日本国民が一人ひとり持つ12ケタの番号のこと。番号が不正に使われるなどの場合を除き、一生変更されないものです。

このマイナンバーにより、行政機関での情報の照会などがスムーズになったり、行政手続きが簡略化されたりといったメリットが考えられています。

具体的には、社会保障である年金や雇用保険、医療保険、福祉分野と、確定申告などの税金及び、災害対策に使われることが決まっています。これにより、収入に見合った社会保障を受けることができるようになる等、最近話題となっている生活保護の不正受給などの解決になるといわれています。

企業は従業員のマイナンバーを何に使うか

民間企業は、給与事務や法定調書作成事務で従業員の個人番号が必要となります。源泉徴収や雇用保険から毎月の報酬にマイナンバーを記載する必要があり、管理部門のメンバーを中心にマイナンバーと触れる機会があると予想されます。

マイナンバーの罰則規定

マイナンバーを、故意に漏えいした場合、「4年以下の懲役または200万円以下の罰金または併科」が科せられます。

そのほかにも、厳しい罰則が定められています。

・不正な利益を図る目的で個人番号を提供または盗用した場合、3年以下の懲役または150万円以下の罰金または併科
・情報提供ネットワークシステムの事務に従事する者が、情報提供ネットワークシステムに関する秘密を漏洩または盗用した場合、3年以下の懲役または150万円以下の罰金または併科
・人を欺き、人に暴行を加え、人を脅迫し、または、財物の窃取、施設への侵入等により個人番号を取得した場合には、3年以下の懲役または150万円以下の罰金

引用元(https://biz.moneyforward.com/mynumber/basic/my-number-penal-regulations/

では企業側は、このマイナンバーの取り扱いにあたりどのようなセキュリティを考えればよいのでしょか。エンジニアが考えたいマイナンバーのセキュリティ対策を3つご紹介します。

マイナンバーのセキュリティ対策1 堅牢な本人認証の仕組みを確立

マイナンバー漏えい

まず企業からマイナンバーの取り扱いに関するフローを確認した上で、実際に取り扱う人間以外がマイナンバーに触れることのないよう、本人認証の仕組みが必要かもしれません。これまでは社員IDが埋め込まれた社員証で、ほとんどの本人認証が可能なケースが多かったのですが、これでは比較的簡単に成りすましができてしまいますよね。後々のリスクを考えれば、生体認証クラスの厳しい本人認証が必要になると考えられます。

また、マイナンバーを保管するシステムは可能な限りミニマムにし、小さなシステムに堅牢なセキュリティ対策を施すことでも、リスクが減らせそうです。実際に導入された事例では、1台のPCにセキュリティ対策と生体認証を設け、そのPCと限られた人間の間だけでマイナンバーのやり取りが可能というシステムも存在しています。

 

マイナンバーのセキュリティ対策2 アクセス権の制御に関するシステムを提案

マイナンバー アクセス

企業の「権限管理」は、これまでも多くのシーンでシステム化されてきましたが、マイナンバーは特に厳しい権限管理が必要になります。

パスワード認証やディレクトリの権限管理だけでは不十分で、場合によっては保管しているシステム自体をスタンドアロンとして、ネットワークから切り離すことが最適解になるかもしれません。

しかし人事給与情報との連動が必要となる場合など、社内ネットワークに接続された環境にマイナンバーを保管するのであれば、人事異動によるアクセス権限の変化を自動で反映させるシステムの提案をすることも必要です。

なるべく人の手を介さず、自動で権限の削除や付与が完了するようになれば、不注意や悪意による人災を防ぐことができます。

 

マイナンバーのセキュリティ対策3 そもそも業務システムを社内に置かない「クラウド・SaaS化」

 

マイナンバーをどう管理するか考えあぐねた結果、社内にマイナンバーデータを保持しないことを選択した企業も存在します。取り扱いに細心の注意が必要なデータだけに、社内の誰を担当にしても負担が増えることに変わりはないという考え方です。

近年システム開発で一つのトレンドになっている「クラウド・SaaS化」を使えば、社内にマイナンバーのデータ自体を持たずに管理することも可能です。これによって社内のマイナンバーデータ保管に対する負担が軽減され、アクセス権や本人認証と組み合わせれば強固なセキュリティ対策となります。

もしマイナンバーの取り扱いに悩む顧客を担当しているのであれば、「クラウド・SaaS化」を提案することで、漏えいのリスクを軽減できるかもしれません。

▼ 高単価 エンジニア 案件を探すなら ▼
invalid URL


日本最大級のITビジネスコミュニティ アサインナビ