第2回 ：マイナンバーの技術的安全管理措置 ～アクセス管理編～

第一回のコラムではこの「安全管理措置」の全体像についてお伝えしました。
今回は、4つある安全管理措置のひとつ「技術的安全管理措置」とその中にある“アクセス制御”と“アクセス者の識別と認証”について解説したいと思います。

技術的管理措置とは情報セキュリティ対策

企業に求められている安全管理措置のひとつである技術的安全管理措置。
情報システムなどITの利用に関する安全管理措置のことであり、もっと簡潔に言ってしまえば情報セキュリティへの対策です。

中小規模事業者であっても、マイナンバー管理に対するリスクへの対処を行うという事は、特定個人情報を守っていく上で、最低限のセキュリティ対策は必要不可欠なものとの認識で準備を進めていかなければなりません。
残念ながら「よくわからないから後回しでいいか」では済まないのです。

情報セキュリティに関しては、情報セキュリティマネジメントシステム（ISMS）適合性評価制度（日本情報経済社会推進協会）での考え方や手順などが参考になるのですが、IT関連ではない中小規模事業者にとってはあまり馴染みがないかもしれませんね。

セキュリティ対策を行うための一般的な手順は以下の通りです。

1. 会社全体でどの部署がどのような情報を扱っているかを整理する
2. それぞれについてどんなリスクがあるかを洗い出す
3. そのリスクが与える影響を評価する
4. 影響の大きいものから対策を考える

問題が起こってから対策を打つ企業も多いのですが、そういった対処療法ですと責任の所在が不明確になったり管理コストが上がったりするなどデメリットが大きいです。
逆にガチガチの運用体制とルールを設けてしまい、実業務に悪影響（非常にやりにくく時間がかかってしまう等）が出ているケースもみかけます。これでは本末転倒で、セキュリティ対策のために仕事をしているようなものになってしまいます。
つまり、当たり前の話ですが、十分なセキュリティ対策であるとともに現実的に運用可能な仕組みとなっていることが必要です。

新しい仕組みを入れるということはそれに伴うコスト（導入と運用）が発生しますが、マイナンバー制度はITインフラを整えるとても良い機会ではないでしょうか。

余談ですが、マイナンバーの管理は必ずしもITを使わなければいけないということではありません。キャビネットに入れて鍵で管理するというアナログ方式でも構わないのですが、本コラムではITを活用することを前提にお話ししていきます。

ITに強い人材がいない（または少ない）中小規模事業者向けに様々なサービスが出ていますので、無理に自社で行おうとせず、外部の力を借りることをオススメします。

少し前置きが長くなってしまいましたが、本題に入りましょう。
前回のコラムで整理したように、技術的管理措置には4つの具体的な措置が必要とされています。

マイナンバーを見られる人と見られない人を分けるのが「アクセス制御」

まずは「アクセス制御」について解説します。
様々なシステムでマイナンバーを管理運用する場合、事務取扱担当者と特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うようにとされています。

要は「仕事で使う人以外は見ることができないようにしなさい」ということです。

個人情報に限らず、経営的な情報についても制限（ITで制御しているかどうかは別として）を設けている会社がほとんどだと思います。役員だけが見られる情報、管理職まで見られる情報などで、全従業員が全情報にアクセスできるというケースのほうが稀です。

基本的にはそれと同じ考え方で、それをITで制御するというだけの話です。

アクセス制御の整理方法

手順としては以下の3ステップになります。

1.事務内容に対応した特定個人情報の範囲を決める
2.アクセス権限を持つ人を決める
3.権限に応じたアクセス範囲を制御する

1と2については以下の図のようなまとめ方をするとわかりやすくなります。

【ダウンロードはこちら】

まず会社で管理している特定個人情報を左欄に書き出して、マイナンバーが必要な業務と担当部署を上に書きます。
次に当該業務に必要な特定個人情報に●を記入し、最後に担当者を入れます。
責任者欄には直属の上司が入るのですが、組織図上の上司には全て権限が与えられます。
逆に組織図上の上司でなければ、どんなに社内的に偉い人（取締役以外）でもアクセスする権限を与えてはいけません。

ポイントとしては「必要のない情報にはアクセスできないようにすること」と「権限付与は必要最小限にとどめること」です。

マイナンバーが関係する業務についてよくまとめられたサイトがありますのでご紹介しておきます。

・マイナンバー業務の基礎知識（マイナンバー対策準備室）

アクセス制御におけるITの活用

3の"権限に応じたアクセス範囲の制御"ですが、このあたりからIT色が強くなり、情報システム部門やITに詳しい人材がいない企業にはちょっとイメージしづらい内容になってしまうかもしれません。

ですが、従業員数が10名を越えたらアナログ管理ではまず対応できません。エラーを防ぐためにもITの活用は必須です。

「アクセス者の識別と認証」とも重複してきますが、権限に応じたアクセス範囲の制御におけるポイントとしては以下の通りです。

■アクセス範囲の制御
○ID・パスワードの設定（パスワードの定期的な変更を含む）
○アクセス者とアクセス可能範囲の紐付け
　例：IDの最初の2文字でアクセス範囲を分類する、等
○権限のない者がアクセスしづらい設定
　例：同時利用人数や時間の制限
○ファイアウォールやルータ等の設定による無権限アクセスからの保護
○アクセス可能なアプリケーションの設定
　例：認証の要求、業務で使用するPCにのみインストール、等

もし上記について具体的なイメージできる人材がいないようでしたら、外部の力を借りましょう。

なりすましを防ぐための「識別と認証」

アクセス制御がきちんとできれば、特定個人情報にアクセスできる人が決まりますので、次にくるのは識別と認証、つまり「なりすまし」を防ぐ対策が必要になります。
アナログなやり方で例えると「従業員名簿が入ったキャビネットの鍵を借りるために申請書を書いて上司のところに持っていき、それを見た上司が決済して鍵を渡す」ような感じですね。
年に1～2回の業務ならそれでも良いでしょうが、マイナンバーが関係する業務は数多くいちいちそんなことはしていられませんのでやはりITの活用が前提となるでしょう。

「識別と認証」の方法

一番多い方法としては、IDとパスワードでの識別と認証が考えられます。ID とパスワードを利用する場合には、「パスワードに有効期限を設ける」、「同一または類似したパスワードの再利用を制限する」、「一定回数以上ログインに失敗したらIDを停止する」等の措置が想定されます。

上記以外では、使用するコンピュータ自体に認証設定を行う事も想定されます。
MACアドレス認証やIPアドレス認証等を用いて、特定個人情報データへのアクセス権限を持っている従業員が使用するコンピュータを認証し、他のコンピュータからのアクセスができないよう設定するのが良いでしょう。

多くの企業では、従業員1人に1台のコンピュータ利用がされていますが、小規模企業や就労する現場によっては、複数の従業員が1台のコンピュータを利用するケースもあります。
この場合であっても、コンピュータ内でのアカウントを分け、また特定個人情報データが入っているフォルダやファイルにパスワードをかけるなどし、特定個人情報データにアクセスできる者を限定しておくべきといえます。

自社の運用方針に合った事前準備を

マイナンバー制度開始に向けて、事前準備ができている企業はまだ多くありません。
特に中小企業では、システムでの管理をどのように進めていくのがいいかも迷っていたり、来年に入ってから徐々に準備をしていけばいいと思っているところも多くあります。

今回のアクセス制御や、アクセス者の識別と認証は、マイナンバーを管理するシステムに限った事ではなく、会社のセキュリティ対策とマイナンバーを取り扱う従業員のヒューマンエラーをいかに防ぐかに対応するものと捉え、自社にあった運用しやすい措置を講じていただきたいと思います。

【今回のポイント】
●技術的安全管理措置は情報セキュリティ対策である
●アクセス制御、アクセス者の識別と認証は、ヒューマンエラーを防ぐための対策と心得る
●セキュリティに走り過ぎず、実業務フローにあった対策を講じる

この記事のライター

成澤 紀美（なりさわ きみ）

株式会社スマイング取締役。
SEを経験した後、社会保険労務士を取得し独立。
人事労務のホームドクターとして、中小企業向けに人事労務関連サービスをワンストップで提供している。

会社Webサイト

社会保険労務士法人スマイング

執筆者プロフィール