Digital Arts News Watch

2015/09/15   
マイナンバー    FinalCode   

マイナンバー対応で見逃されがちな落とし穴、「ログ管理」の勘所

マイナンバー情報を含むファイルに対するログ記録が必須に

いよいよ、マイナンバー制度導入が目前まで迫ってきました。セキュリティに関わる方ならもうご存知でしょうが、マイナンバーを含む個人情報は、一般の個人情報より重要度が高い「特定個人情報」に位置付けられており、よってその漏洩や不正利用に対してはこれまでより重い罰則が適用されます。

そのため多くの企業が、マイナンバー情報を外部の攻撃から守るために、あるいは内部犯行による流出を防ぐために、急ピッチでセキュリティ対策の強化を進めています。しかしそうした中で、見逃されがちなポイントが1つあります。それが「ログの重要性」です。

国が公開している「特定個人情報の適正な取り扱いに関するガイドライン(事業者編)」では、マイナンバー情報を取り扱うにあたり、すべての企業は「暗号化等による情報持ち出しの際の漏洩防止」「アクセス制御」「外部からの不正アクセス等の防止」といったセキュリティ要件に対応する必要があるとしています。そしてそれらの中には、「運用状況確認のため、システムログや利用実績を記録」という要件も含まれているのです。つまり、マイナンバーが含まれるあらゆる情報に対して、「いつ」「誰が」「どの情報に対して」「どんな操作を行ったか」という履歴を取る必要があるということです。

こうした要件が求められる理由には、大きく分けて2つがあります。1つは、もし万が一、特定個人情報の漏洩が発覚した場合、該当情報に対する過去のアクセス履歴が仔細に残っていれば、その内容をさかのぼることで漏洩の経緯をすぐ把握し、迅速な対応が取れること。そして、もし他社や第三者による情報漏洩事故に巻き込まれそうになった場合でも、アクセス履歴がログとしてきちんと残っていれば、自社からの漏洩がないことや、自社ではきちんとしたセキュリティ対策を施していたことを外部に対して証明できます。

もう1つの理由は、ログを記録することが内部不正の抑止力として働くからです。特定個人情報に対するアクセス履歴を仔細漏らさずすべて記録していることを社内で周知すれば、それだけで大抵の人は不正にマイナンバー情報を取得しようという気が失せるでしょう。ことあるごとに、特定個人情報のアクセス履歴を取っていることを社内で知らしめることで、従業員のマイナンバー情報を直接扱う機会の多い人事部門をはじめ、社内関係者による不正利用をけん制する効果が期待できるのです。

社外に手渡したマイナンバー情報もアクセスログで追跡できればベスト

ちなみに、ファイルに対するアクセス履歴をログとして残す機能は、現在では多くの業務アプリケーションが備えています。文書管理システムやグループウェアなどはその代表例でしょう。また、OSのシステムログを収集し、ファイルのアクセス状況を見やすく可視化してくれるログ管理ツールも存在します。では、企業がマイナンバーに対応するに当たっては、そうしたツールや製品を活用すれば事足りるのでしょうか?

残念ながら、多くの場合は「NO」です。というのは、マイナンバー対応で求められるログ管理の機能は、単にファイルのアクセス履歴を残すだけでは不十分なのです。たとえ正規のアクセス権限を持ったユーザーによるアクセスであっても、そのファイルが特定個人情報に該当する場合、ファイルの複製や印刷といった操作には制限を掛ける必要があるかもしれません。こうしたきめ細かな監視は、一般的な業務アプリケーションのログ機能ではカバーしていないことがほとんどです。

また、一般的なアプリケーションやセキュリティ製品では、社外に手渡したファイルを監視・追跡することはできません。国が定めたガイドラインでは、社外に提供した特定個人情報の監視や追跡を明示的に義務付けてはいませんが、特定個人情報を手渡す委託先の「監督責任」については、明確に定めています。マイナンバーを含む情報は、社労士事務所や、人事・労務業務のアウトソーシング企業など、社外の委託先に手渡す機会も少なくありません。そのような委託先から、自社の特定個人情報が漏洩してしまったら、たとえ自社に瑕疵がなかったとしても、委託元としての監督責任は負わなくてはならないのです。

そのため、マイナンバー対応のためのログ記録の仕組みには、できれば社外に提供したファイルに対するアクセスを記録・追跡できる機能が欲しいところです。「そんなことができれば、初めから苦労しない!」、そう考える方も多いかもしれません。確かに従来のITソリューションでは、これは不可能でした。しかし幸いなことに、まだ数は極めて少ないものの、そうしたことを可能にする製品が登場してきました。弊社のファイル暗号化・追跡ソリューション「FinalCode」もその1つです。ファイルが手元を離れ、社外の関係者の手に渡った後も、手元からファイルのアクセスログをいつでも確認でき、不正なアクセスなどがあった場合はメールで通知してくれます。

マイナンバー対応に万全を期すのであれば、できればこうした対策まで施しておきたいところです。こちらのページに、「FinalCode」によるマイナンバーのセキュリティ対策に関する情報も掲載されていますので、興味をお持ちの方はぜひご参照ください。
<「FinalCode」製品担当:松森>

マイナンバーの情報漏洩対策には「FinalCode」をおすすめいたします。

FinalCode