マイナンバーのシステムを運用するときに注意すべきこと

マイナンバーのシステムを運用するときに注意すべきこと

マイナンバー制度では、すべての事業者に個人番号の適切な取り扱いを求めるため、「特定個人方法の適切な取り扱いに関するガイドライン」を公開し、これを遵守するよう指導しています。

この記事では、ガイドラインの中でも特に事業者の運用する情報システムについて求められている内容について注意すべき点を中心にお伝えしていきます。

適切なアクセス制御をしているか？

事業者の運用する情報システムの中でも、人事・給与システムなど個人番号の取り扱いが必要なシステムがあります。このような個人番号を取り扱うシステムでは、特定個人情報にアクセスできる範囲を限定する、人事・給与担当者の中でも個人番号を参照できる人を限定するなど、適切なアクセス制御によって必要以上の情報にアクセスできなくすることが求められます。

手法としては、ID・パスワードやICカードなどで特定個人情報にアクセス可能なユーザーであることを識別し、認証されたユーザーのみが利用できるようにするなどが考えられます。

不正アクセス・情報漏えいなどの防止

近年の情報システムを取り巻く環境は、常に外部からの侵入や情報漏えいなどの危機にさらされています。そのような環境の中で個人番号など特定個人情報をインターネットなどを通じて外部に送信する場合、通信経路における情報漏えいを防止するため、通信経路を通過するデータの暗号化などの手段をとることが考えられます。

また、不正アクセスに対してはファイアウォールの設置、セキュリティソフトの導入、極端な場合は物理的に外部ネットワークから遮断するなどの措置が考えられます。

システムの運用・保守業務の安全対策

情報システムのユーザーに対しては、システムの仕組みで適切なアクセス制御をかけることによって対応が可能ですが、問題は情報システムの運用・保守業務においていかに適切な安全対策を講じるかということがあります。

なぜなら、システムの運用・保守の担当者は管理対象のシステムメンテナンス作業を行うときにシステムのサーバやデータベースに直接アクセスを行うため、システムによるアクセス制御が機能しないためです。

この場合は、運用・保守業務を行う上での手順やルールを決め、これを遵守させるような運用上の制御が必要になってきます。

たとえば、システム運用・保守のための管理者アカウントは貸与制にし、貸出時に管理者アカウントの使用者や使用日時の履歴を記録し保管することで運用・保守担当者がいつでも自由にシステムにアクセスできないようにする、管理用アカウントのパスワードは貸出の都度変更する、システム保守作業には立ち会いを行い担当者の単独による作業をさせないなどの対策が考えられます。

このような対策を行うことにより、システムで管理されている特定個人情報へのアクセスをしっかり制御しておくことが大切なのです。