Special
» 2015年01月19日 07時00分 公開

全ての企業が対応必須:DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点” (2/3)

[PR/@IT]

マイナンバーの取り扱いで企業に求められる「安全管理措置」

 これらの刑罰に処されないためにも、民間事業者は、従業員などから収集したマイナンバーの漏えい、滅失、毀損などが発生しないよう、またマイナンバーが不適切に用いられることのないよう、管理に万全を期す必要がある。そのためのガイドラインとして、内閣府の特定個人情報保護委員会が策定し、2014年12月11日に公表されたのが「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(PDF)である。このガイドラインによれば、マイナンバーを取り扱う全ての民間事業者は、マイナンバーを含む特定個人情報に対して「安全管理措置」を講じる必要があるという(ガイドライン策定に携わった手塚悟氏による、企業のためのマイナンバー制度対策セミナーのレポートも参照してほしい)。

 この安全管理措置の考え方は、「個人番号(マイナンバー)を取り扱う事務範囲」「特定個人情報ファイルの範囲」「個人番号を取り扱う担当者(個人番号関係事務実施者)の範囲」を、マイナンバー法にのっとったかたちで明確化し、それぞれの管理を徹底するというものだ※3。そのための重要な方策として、ガイドラインは情報システム/ITに対する安全管理措置も提示している。例えば、特定個人情報に対する「物理的安全管理措置」として、「(特定個人情報が記録された)電子媒体を(社外に)持ち出す際の情報漏えいの防止措置(データの暗号化など)」を講じる必要があるとしている。また、「技術的安全管理措置」として、(特定個人情報に対する)「アクセス制御」や「アクセス者の識別と認証」「外部からの不正アクセス防止」「情報漏えい防止」といった措置を講じるべきとしている。

※3 マイナンバー法では、「個人番号(マイナンバー)を利用できる事務の範囲」「特定個人情報ファイルを作成できる範囲」「特定個人情報を収集/保管/提供できる範囲」などを制限しており、民間事業者による安全管理措置についても、それを前提に方針を策定する必要がある。



アプリケーション側のアクセス制御だけでは不十分。「データベースの特権ユーザー管理」が不可欠に

日本オラクル 製品戦略統括本部 営業推進本部 テクノロジーディレクター 工学博士の下道高志氏

 上述したシステム面での安全管理措置のポイントは、情報漏えいを防ぐための「データの暗号化」と、特定個人情報(あるいは、特定個人情報ファイル)に対する「アクセス制御/権限管理」の2点に集約できるといえるだろう。中でも留意すべきが、アクセス制御/権限管理だ。日本オラクルの下道高志氏(製品戦略統括本部 営業推進本部 テクノロジーディレクター 工学博士)は次のように説明する。

 「大きなポイントの一つは、データベースに対するアクセス制御/権限管理をしっかりと行い、マイナンバーを扱う人と扱わない人、さらにはマイナンバーを扱うシステムと、そうではないシステムをしっかりと区分けすることです」

 先にも触れた通り、マイナンバーを取り扱う事務内容や担当者は、マイナンバー法にのっとったかたちで限定されなければならない。従って、他業務の担当者がマイナンバーにアクセスできてしまうことは避けなければならず、特定個人情報ファイルに対するアクセス権(ID)管理やアクセス制御を緻密に行うことが必要とされる。また、マイナンバーは行政手続きでしか使えないため、マイナンバーにひも付けてアクセスできる情報の範囲も(アクセス制御で)限定しなければならない。

 「例えば、マイナンバーにアクセスできるシステムは、全て特定個人情報を扱うシステムと見なされ、安全管理措置を講じるべき対象となります。同様にマイナンバーが参照できる人は、全てが個人番号関係事務実施者と見なされます。安全管理措置の対象を、特定のシステム/人に絞るには、データベースの権限管理/アクセス制御が不可欠なのです」

(クリックで拡大表示)

 民間事業者によるマイナンバー管理には、Oracle Databaseのようなリレーショナルデータベースが多く用いられるはずだ。その際、権限管理/アクセス制御によって、「ある特定の権限を持つ人だけに、マイナンバーが含まれている表や列へのアクセスを許す」といった制限をかけなければ、不用意/不正なSQL操作により、どのシステム(アプリケーション)からもマイナンバーを検索/参照できてしまう可能性がある。これは、マイナンバー制度上、絶対に避けなければならないことだ。

日本オラクル 製品戦略統括本部 プロダクトマーケティング本部 Cloud & Big Data推進部 シニアマネージャーの大澤清吾氏

 また、もう一つ、マイナンバー管理をめぐっては見落とされがちなポイントがあると日本オラクルの大澤清吾氏(日本オラクル 製品戦略統括本部 プロダクトマーケティング本部 Cloud & Big Data推進部 シニアマネージャー)は指摘する。それは、システムの特権ユーザーであるデータベース管理者のマイナンバーへのアクセスにも制限をかける必要があることだ。

 「マイナンバー管理に関しては、もっぱらアプリケーション側やエンドユーザー側での対策ばかりが議論され、データの暗号化やマスキング、あるいはアプリケーション側でのアクセス制限をかければ、それで事足りると考えるが方が少なくないようです。しかし、実はそこに盲点があるのです」と大澤氏は語り、次のように続ける。

 「たとえアプリケーション側でアクセス制御を行ったとしても、データベース管理者など特権ユーザーのアクセス制御を厳密に行っていないシステムでは、他のシステムのデータと同様、特権ユーザーにマイナンバーが見えてしまう可能性があります。その場合、その組織のシステム全体を安全管理措置の対象としなければならなくなるかもしれません。それを避けるには、特権ユーザーも含めた厳格な権限管理/データベースアクセス制御が必要となるのです」(大澤氏)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年2月18日

関連情報

驚異的なパフォーマンス、優れた運用効率、最高の可用性とセキュリティ、クラウド対応を実現するOracle Exadataとの統合、クラウド、可用性や運用管理など、次世代データベース基盤構築のために参考になる必見資料をまとめてご紹介いたします。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。