Digital Arts News Watch

業務パッケージ製品はマイナンバー情報を最後までは守ってくれない！

マイナンバー制度の導入が、いよいよ目前まで迫ってきました。マイナンバーおよびそれと関連付けられる個人情報は、一般的な個人情報よりさらに厳密な管理とセキュリティ対策が求められる「特定個人情報」に指定されており、企業はこれを扱うに当たってさまざまな管理義務を負うことになります。特に人事・労務関連部署では、既存の業務システムで管理している従業員情報や発注先情報とマイナンバー情報を新たにひも付けて管理・処理する必要が生じるため、業務システムの更改やバージョンアップも含め、急ピッチで対応を進めています。

しかしその一方で、多くの誤解が生じているケースも散見されます。特に多いのが、「業務パッケージのバージョンアップや刷新を行えば、すべての対応が完了する」という誤解です。「マイナンバー対策」は「業務対応」と「情報漏洩対策」の2つの視点で考える必要があります。業務パッケージでは、システム上でのマイナンバーの保管や帳票出力などといった「業務対応」は可能ですが、「情報漏洩対策」という点では十分ではありません。

ここであらためて、マイナンバーに関連する業務について簡単におさらいしておきましょう。マイナンバーを扱う業務には、大きく分けて「収集」「保存」「利用」「提供」「削除・廃棄」の5つのフェーズがあります。企業はこれらすべての業務において、マイナンバー情報を適切に管理し、不正利用や外部流出といったセキュリティ事故の発生を防ぐ責任を負います。

しかし業務パッケージの本来の役目はセキュリティ対策ではなく、あくまでも業務の支援にあります。マイナンバーを既存の従業員データベースの内容とひも付けて、マイナンバー情報を含む帳票を出力するといったような機能なら、マイナンバー対応を謳う業務パッケージであればどれも対応することでしょう。

ただし、これは先ほど挙げた5つのフェーズのうち、「保存」と「利用」しかカバーしていません。中には、マイナンバー情報の「収集」までサポートするツール等を提供する予定の製品もありますが、それでも「提供」や「削除・廃棄」に関してはまったくの手付かずです。しかし、この2つの業務におけるマイナンバー情報の管理こそ、セキュリティ対策上極めて重要なポイントになるのです。

ポイントは社外に提供したファイルの漏洩対策

マイナンバーを含む特定個人情報は、業務委託先や社労士事務所など、社外の第三者に手渡す機会も多く発生します。しかし業務パッケージは、情報を帳票やファイルの形で出力した後のことには、一切関知しません。その後、そのファイルをどう扱うかは、完全にユーザーに委ねられます。

しかし後に帳票やファイルを社外の委託先に提供し、もし万が一そこから特定個人情報が漏洩した場合には、委託元の企業も監督責任を負うことになります。そのため、こうした情報を提供する委託先に対しては、厳密な情報管理を求めるとともに、場合によっては何らかの契約を新たに交わす必要性も出てくるかもしれません。

これは「削除・廃棄」に関しても同様です。マイナンバー情報を含むファイルを、利用が終わったら必ず削除・廃棄するよう委託先に要請していても、それがきちんと守られるかどうか100％の保証はありません。にも関わらず、漏洩が起きれば監督責任を負わなくてはならないのです。ここはやはり、委託先からの漏洩を防ぐための何らかのITの施策を、業務パッケージとは別に講じておきたいところです。

とはいえ、社内で管理しているファイルならいざ知らず、一度社外に出してしまったファイルを手元から監視したり、不正なアクセスを防ぐというのは、今までのIT技術では事実上不可能でした。中には、「ファイルにパスワードロックをかけておけば大丈夫」と考えている方もいるようですが、近年ではパスワードを解除する手口もポピュラーになってきており、いったん解除されればもうファイルを守る手立ては存在しません。

しかし幸いなことに、近年になって社外に出したファイルを、まるでまだ社内にあるがごとく厳密に管理できるセキュリティソリューションも登場してきました。そのうちの1つが弊社が提供する「FinalCode」です。社外のユーザーにファイルを提供した後も、あらかじめ許可したユーザー以外によるアクセスを拒否できるほか、ファイルのコピーや印刷も制限できるので、悪意や不注意による流出を確実に防ぐことができます。また、社外に提供したファイルをリモートで削除したり、あるいは一定期間が過ぎたら自動的に削除されるよう設定することもできます。

こうしたソリューションを導入することで初めて、業務パッケージだけでは決してカバーできないマイナンバー対応のセキュリティ要件を満遍なく満たすことができます。こちらのページに、「FinalCode」によるマイナンバーのセキュリティ対策に関する情報も掲載されていますので、興味をお持ちの方はぜひご参照ください。
＜「FinalCode」製品担当：松森＞

マイナンバーの情報漏洩対策には「FinalCode」をおすすめいたします。