ソリューション

マイナンバー関連システムの保守・運用業務に対する安全管理措置の必要性

2016年1月より施行されたマインバー制度。この制度によって付与される個人番号は、国民一人ひとりを識別する固有の番号であることから、その不正利用によって個人のプライバシー侵害につながらないよう、すべての事業者・公共団体に対し、適切な取扱いが求められます。
内閣府外局の第三者機関「特定個人情報保護委員会」では、公共機関および事業者におけるマイナンバーの安全対策の指針として「特定個人情報の適正な取扱いに関するガイドライン(以下、ガイドライン)」を策定・公開し、遵守するよう指導しています。
本ページでは、マイナンバー制度によって発生する企業や公共団体に対する個人番号の安全管理措置の中でも、個人番号をITシステムで管理する場合に重要なポイントであるシステムの保守・運用業務に対する対策についてご説明します。

マイナンバー関連システムの保守・運用業務に対する安全管理が重要

下図は、ITシステムに対する2つの「アクセス」について説明したものです。人事・経理担当者などシステムの「ユーザー部門」は、システムのプログラムロジックを介して個人番号を含む人事各種データにアクセスしています。このため、マイナンバー施行によって新たな対策が必要な場合でも、プログラムロジックの修正(パッケージソフトの場合はバージョンアップ)によって、対応が可能となります。
たとえば、人事・給与担当者の中でも、個人番号を参照できる権限を特定の社員のみに限定する、個人番号の参照履歴をすべて保存し、管理者が確認できるようにする、といった改修で、ガイドラインが示す安全管理措置に対応可能です。

一方、保守・運用のためにIT技術者がシステムにアクセスする場合、前述したようなプログラムロジックを介さず、直接サーバーやデータベースにアクセスします。しかも、「特権ID」と呼ばれるシステム管理者権限を使用するため、アクセス制御等の仕組みが機能しません。そのためシステム保守・運用業務に対しては別の方法にて対策を講じる必要があります。

 
詳細は「人事・経理責任者が知っておくべきマイナンバー安全対策の盲点」をご参照ください。
 

システム保守・運用業務の現状チェックリスト

したがってまず企業では、マイナンバー対象のシステムについて、その保守・運用業務の安全対策の現状をチェックし、新たな対策が必要かどうかを検証してみることが必要です。
以下に、システム保守・運用業務の安全対策チェックリストの一部をご紹介しました。対応済みの項目が少ない場合、改善が必要と考えられます。

対象システムにどのような管理者権限を有するIDがどの程度存在し、誰がどのように管理をしているか、定期的に確認している。
複数人で同一の管理者アカウントを使い回さない。または、管理者アカウントの使用者/使用日時等の履歴を記録・保管している。
管理者アカウントは、システム保守作業などの必要に応じて都度貸し出しており、保守・運用担当者が常にシステムへアクセスできないようにしている。
システム保守で使用する管理者アカウントのパスワードは、定期的に変更している。
システム保守作業に際しては、立ち合いを行うなどして、担当者単独での作業をさせないようにしている。
システム保守作業内容を事後に確認できるよう作業ログ等を保存している。
 
システム保守・運用業務の安全対策に関するより詳しいチェックリストはこちら
 

外部サービスを利用する場合の留意点

一方、人事・給与業務をすでにアウトソーシングしている企業や、マイナンバー制度施行に合わせ個人番号を管理するクラウドサービスの利用を検討している企業にとっても、システム保守・運用業務における安全対策は、委託先の監視・監督という観点で留意すべきポイントです。

人事・給与などマイナンバー関連業務をアウトソーシングする場合

アウトソーシングを受ける業務受託企業が、マイナンバーの収集や保管にITシステムを利用している場合、システムの保守・運用業務で個人番号を取り扱う場合は、個人番号関連業務として外部委託をしていることになります。そのため、委託元の企業は、サービス事業者がガイドラインに示された安全対策を講じているかを監視・監督する必要があります。 前述したチェックリストは、アウトソーシング先の選定や運用状況の確認に使用することができます。

マイナンバー収集・保管等のクラウドサービスを利用する場合

マイナンバーを収集したり、保管したりするクラウド型のシステムを利用する場合、システムの保守・運用は事業者の責任となります。ただし、システム保守・運用業務がマイナンバー制度で定められた個人番号関係事務にあたるかどうかは、個人番号データのバックアップなど、収集・保管されている個人番号の取扱いが発生するかどうかにかかります。したがって、サービス選定時には、サービス事業者に対し個人番号関係事務の委託にあたるかどうかを確認することが重要です。
外部委託に該当しない場合、保管されている個人番号データの安全管理措置は、利用企業の責任で講じる必要があり、事業者の保守・運用担当者が自社の個人番号へアクセスできないよう制御する仕組みが必要です。一方、外部委託に該当する場合、事業者が安全対策を講じる必要があり、委託元である利用企業は、安全管理の実施状況について監督する立場になります。

弊社ソリューションによるマイナンバー安全対策の実現

弊社は、2つのパッケージラインナップのご提供により、中小企業から大企業までのあらゆる規模のお客様に対し、マイナンバー関連システムの保守・運用業務に対する安全管理措置を実現します。 自社でマイナンバーシステムを保有するケースや、委託先に管理を委ねる場合など、様々なケースに対応することが可能です。

特権IDアクセス管理機能(アクセス制御)

ワークフローを用いた事前申請に基づく特権IDの貸与でアクセス制限を実現。特権IDのパスワードを隠ぺいし漏洩リスクを低減。

特権ID使用者識別機能(アクセス者の識別)

特権IDとその使用者個人を紐づける独自技術により、特権IDを共有して利用する場合でも、使用者を識別するとともに、許可されないユーザーによる不正使用を防止。

システム操作監視/証跡(ログの取得と点検)

ログ解析の専門知識がなくても、容易に点検が実施できるよう、操作内容を動画やテキストで記録。許可されない操作が実行された場合に即時にアラートが上がる検知機能。

ファイル持出制御(情報漏えい対策)

サーバーからファイルを作業者単独で持ち出せないよう制御。また持ち出しファイルにマイナンバーや個人情報が含まれていないか検査し、アラートを表示。

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時