Digital Arts News Watch

「自治体情報セキュリティ対策抜本的強化案」とは？

昨年6月に発覚した、日本年金機構による大量の個人情報漏洩事故は、国や地方自治体における情報セキュリティ対策の在り方に多大なインパクトをもたらしました。2016年1月からのマイナンバー制度スタートを控えていたこともあり、総務省は急遽「自治体情報セキュリティ対策検討チーム」を立ち上げ、2015年11月には「新たな自治体情報セキュリティ対策の抜本的強化に向けて」と題した報告書を公表しました。

情報セキュリティを担当されている方、あるいは自治体の情報システムにかかわっている方であれば、既にこの報告書に目を通されている方も多いかもしれません。マイナンバー制度の施行、さらにはその先の2020年東京オリンピック開催を見据え、情報セキュリティに対して国が抱いている危機感が直接反映された内容となっており、各自治体に対してかなり踏み込んだ対策の実施を要請しています。

具体的には、2017年7月からの国・自治体を通じたマイナンバー情報のオンライン連携がスタートする前に、以下3点の取り組みを各自治体に求めています。

今後はネットワーク分離の取り組みを皮切りに、上記の方針に沿った情報セキュリティ対策が各自治体で進められるものと思われます。ただし、住民情報やマイナンバー情報を安全に管理するためには、これ以外にもやるべきことは山積しています。特に喫緊の課題といえるのが、「庁外に出した住民情報をいかに安全に保つか」という大問題です。

庁外に住民情報を出す際の安全性をいかに担保するか？

住民情報を庁外に漏らさないための仕組み作りは、前出の報告書の提言に従えば実現できるかもしれません。しかし多くの自治体では業務の都合上、どうしても庁外の業務委託先に住民情報を渡して作業を委託しなくてはならないケースも出てきます。この場合、いくら庁内のセキュリティ対策に万全を期したとしても、それと同じレベルの対策が委託先でも必ず実施されるという保証はありません。

この課題に対する有効な解決策の1つに、「ファイルの暗号化」があります。庁外に提供するファイルを暗号化し、本来の受け取り手しか閲覧できないようにすれば、万が一意図せぬ流出を招いてしまったとしても、中身の情報が漏れることはありません。

しかし、総務省が2015年3月に公表した「地方自治情報管理概要」によれば、調査に対して「重要なデータを暗号化して保存している」と回答した自治体は都道府県で57.4％、市区町村ではわずか32.6％という結果になっています。

加えてこの暗号化も、一般的に広く用いられている「パスワード付きZIP」では、大変心許ないのが実情です。パスワードが漏洩してしまえば、本来の受け取り手以外でも復号できてしまいますし、たとえ正当な受け取り手だったとしても、復号された後にそのファイルが第三者の手に渡らない保証はありません。

庁外へ出したファイルも庁内と同じようにしっかり管理！

自治体が抱えるこうした課題に対して弊社が提供する解が、ファイル暗号化・追跡ソリューション「FinalCode」です。一般的なファイル暗号化技術と決定的に異なるのが、ファイルを庁外に提供した後も、庁内と同じレベルのアクセス制御を実施できる点です。

指定した人以外には暗号化したファイルの閲覧・復号を行えないようにするとともに、コピー・ペーストや印刷にも制限を掛けられるので、第三者への情報流出を効果的に防ぐことができます。さらには、庁外で「いつ誰がどのような操作をファイルに対して行ったか」をアクセスログに詳細に記録し、追跡できるほか、リモートからファイルを削除することまで可能になっています。これなら、庁外の委託先に対しても安心してファイルを手渡すことができます。

また、2016年1月にリリースされた「FinalCode」Ver.5では、ファイルサーバー上のフォルダーにファイルを保存するだけで、自動的に暗号化が行われる機能も新たに加わりました。多くの自治体では近年、クライアント端末経由の情報漏洩を防ぐために、なるべくファイルを端末内に保存せずにファイルサーバー上に置く運用を行っています。こうした運用に「FinalCode」を組み込めば、ユーザーはほとんど何も意識せず普段通りに業務を遂行するだけで、後は裏で「FinalCode」が自動的にファイルを暗号化してくれます。

なお、自治体ユーザーのみを対象とした「FinalCode 自治体限定版」も、2016年4月4日にリリースいたしました。公共団体向けに、特に団体内のファイルを守ることに特化したIRM製品として、「FinalCode」の機能をシンプルにしたものです。ファイルサーバー上のフォルダーで自動的に暗号化するだけでなく、自動的に復号することもできますので、特別な操作を覚える必要がなく、ファイルをフォルダーに入れるだけで簡単に運用できるという特長があります。

このほかにも「FinalCode」には、自治体が管理する重要データを守るためのさまざまな機能が備わっており、既に多くの自治体や官公庁での利用実績があります。「FinalCode 自治体限定版」紹介ページにて、詳しい情報を掲載しておりますので、興味をお持ちの方はぜひご参照ください。
＜「FinalCode」製品担当：根岸＞

自治体のセキュリティ強化には「FinalCode 自治体限定版」をおすすめいたします。