マイナンバー情報の 効率的な取り扱いと安全管理措置への対応

マイナンバー情報の
効率的な取り扱いと安全管理措置への対応
2015年4月16日
株式会社 日立ソリューションズ
© Hitachi Solutions, Ltd. 2015. All rights reserved.
Contents
1. マイナンバーソリューションの概要
2. リシテアによるマイナンバー情報の効率的な収集と配信
3. マイナンバー管理ソリューションによる安全管理措置への対応
© Hitachi Solutions, Ltd. 2015. All rights reserved.
1
1.
マイナンバーソリューションの概要
© Hitachi Solutions, Ltd. 2015. All rights reserved.
2
1.1 ソリューションコンセプト
日立ソリューションズは、数多くの人事、給与、経理等の業務システム構築と
No1セキュリティ製品実績により企業のマイナンバー制度への取組みを、
業務と情報セキュリティの両面から全面的な支援を行います
マイナンバーソリューション
効率化
安全管理
利用
提供
業務
システム
収集
保管
情報
セキュリティ
安全管理支援
関連業務効率化支援
企業のマイナンバー対応業務プロセス
廃棄
マイナンバーコンサルテーション
© Hitachi Solutions, Ltd. 2015. All rights reserved.
3
1.2 ソリューションの全体概要
マイナンバーソリューション
マイナンバーコンサルテーションサービス
お客様のマイナンバー対応プロジェクト推進を業務とセキュリティの専門家に
よりご支援
関連業務効率化支援
お客様の状況に応じたマイナンバー情報の収集、保管、利用・提供、廃棄の
ためのソリューションをご提供
安全管理支援
マイナンバー(特定個人情報)の安全管理措置に有効なセキュリティ製品の
ご提供と構築支援
© Hitachi Solutions, Ltd. 2015. All rights reserved.
4
2.
リシテアによる
マイナンバー情報の効率的な収集と配信
© Hitachi Solutions, Ltd. 2015. All rights reserved.
5
2.1 リシテアシリーズ
●リシテアシリーズは、以下の7モジュールで人事・労務管理に必要な機能を提供する
フロントエンドに特化したパッケージソリューションです。
リシテアシリーズ
Job
(就業管理)
Cost
HealthCare
(工数管理) (健康管理)
Travel
Flow
Report-i
Career
(旅費申請)
(汎用WF )
(帳票閲覧 )
(HCM)
勤務申請
工数実績申請
問診実施
仮払申請
伝票定義
給与明細
スキル診断
勤務承認
工数実績承認
面談予約
旅費申請
届出業務
源泉徴収票
スキル管理
月次集計
進捗検索
フォローメール
承認業務
承認業務
各種帳票
目標管理
休暇管理
工数集計
結果通知
締め業務
各種テンプレート
過去帳票閲覧
研修管理
個人情報
権限
回付ルート
承認状況
組織診断
リシテア Base
連携
スキル検索
本日のご紹介範囲
基幹システム群 (人事・給与・購買・販売・品質管理 etc)
© Hitachi Solutions, Ltd. 2015. All rights reserved.
6
2.2 リシテアシリーズの変遷
1994年
就業情報管理システム スタンドアロン版 リリース
1995年
就業情報管理システム LAN/WAN版 リリース
1998年
LYSITHEA/就業 web-lite (イントラネット版) リリース
2001年
LYSITHEA/旅費 リリース
2003年
リシテアJob/Cost (J2EE版) リリース
2004年
リシテアReport-i リリース
リシテアHealth Care リリース
人事総合ソリューション
ポータル
給与
人事
健康管理
帳票閲覧
人 財 戦 略
人 事 系 W F
本日のご紹介範囲
旅 費 管 理
工 数 管 理
2010年
就 業 管 理
2009年
リシテアCareer リリース
リシテアTravel リリース
リシテアFlowリリース
・・・
© Hitachi Solutions, Ltd. 2015. All rights reserved.
7
2.3 導入実績
(週刊エコノミスト 9/30号 裏面広告掲載)
1,000社以上
1,330,000人以上
2015年1月末現在
© Hitachi Solutions, Ltd. 2015. All rights reserved.
8
2.4 導入事例集
リシテア導入事例リーフレットの作成にご協力頂いているお客様
日本精工様
ソニーグループ様
オリックス様
コマツ様
TIS様
富士通ビー・エス・シー様
・アサヒビール様 ・伊藤忠テクノソリューションズ様 ・科学情報システムズ様
・亀田総合病院様 ・がん研究会様 ・清水建設様 ・全労災システムズ様
・ソフトバンクグループ通信3社様 ・中央労働金庫様 ・中電シーティーアイ様
・日本生命様 ・東日本旅客鉄道様 ・ビデオリサーチ様
※)50音順
・三菱UFJインフォメーションテクノロジー様 ・リクルートグループ様
© Hitachi Solutions, Ltd. 2015. All rights reserved.
9
2.5 システム全体図
マイナンバー管理システム構成図
扶養家族
①収集
リシテアFlow
申請画面
(Web)
従業員
ワークフロー
申請
社内イントラネット
マイナンバー
情報入力
保管
確認
承認
人事給与システム
・個人、組織等マスタ管理
・昇給、昇格、異動、退職
・給与、賞与等計算処理
・年調処理
等
②利用(配布)
帳票選択
(Web)
リシテアReport-i
ダウンロード
帳票閲覧
パスワード設定
法定調書
税務署等
リシテアの提供範囲
© Hitachi Solutions, Ltd. 2015. All rights reserved.
10
3.
マイナンバー管理ソリューションによる
安全管理措置への対応
© Hitachi Solutions, Ltd. 2015. All rights reserved.
11
3.1 企業がやらなくてはいけないこと
マイナンバー制度のスタートに合わせて、企業は主に以下を
実施しなくてはいけません。
個人番号の収集
行政が関連する
業務で利用
安全管理措置
源泉徴収票・法定調書
等への個人番号を記載
する。
適切な安全管理措置を
講ずる。
(番号の廃棄も含む)
個人番号 ○○○……○○○
個人番号 ○○○……○○○
個人番号
個人番号 ○○○……○○○
○○○……○○○
生年月日 ○年□月△日
生年月日
○年□月△日
性 生年月日
別
女
○年□月△日
生年月日女○年□月△日
氏性性性名別別
日立花子
別
女
氏
日立花子
住 氏氏所名名
△県○市□町
名
日立花子
住
所 △県○市□
住
所 △県○市□町
住町 所 △県○市□町
従業員から個人番号を
収集する。
© Hitachi Solutions, Ltd. 2015. All rights reserved.
12
3.2 いつからやらなくてはいけないのか
マイナンバー制度は2016年1月からスタートします。
ただし、従業員からの個人番号収集は、制度開始に先駆けて、
2015年10月から開始する必要があります。
2015年10月
個人
番号
収集
2016年
2017年
順次個人番号を業務で利用
(社会保障、税、災害対策分野のみ)
安全管理措置
© Hitachi Solutions, Ltd. 2015. All rights reserved.
13
3.3 特定個人情報の厳格な情報管理
マイナンバー(個人番号)を含む個人情報は
特定個人情報と位置づけられています
個人番号が
追加されると
個人番号 ○○○……○○○
生年月日
性
別
氏
名
住
所
(従来の)個人情報
氏名
生年月日
住所
個人情報保護法
○年□月△日
女
日立花子
△県○市□町
特定個人情報
厳格な安全管理
マイナンバー制度
マイナンバーを含む特定個人情報は
より厳格な安全管理が必要
© Hitachi Solutions, Ltd. 2015. All rights reserved.
14
3.4 マイナンバー法の対象となる企業
マイナンバー法の適用対象
個人情報保護法
の適用対象
日本版SOX法
の適用対象
個人情報を5,000
件以上持っている
企業
上場企業
原則として
全企業が対象
マイナンバー法は原則として
すべての民間企業が適用対象
© Hitachi Solutions, Ltd. 2015. All rights reserved.
15
3.5 番号法違反には厳しい罰則が科せられます
漏洩などの違反行為に関しては、違反者、違反者の
所属団体ともに厳しい罰則が科せられます。
罰則の対象となる行為
罰則
個人番号利用事務等に従事する者
が、正当な理由なく、特定個人情報
ファイルを提供
4年以下の懲役 or 200万
以下の罰金 or 併科(67条)
(両罰規定(77条1項)あり)
なし
上記の者が、不正な利益を図る
目的で、個人番号を提供又は盗用
3年以下の懲役 or 150万
以下の罰金 or 併科(68条)
(両罰規定あり)
3年以下の懲役 or 150万
以下の罰金 or 併科(69条)
なし
3年以下の懲役 or 150万
以下の罰金(70条)
(両罰規定あり)
なし
情報提供ネットワークシステムの
事務に従事する者が、情報提供
ネットワークシステムに関する秘密
の漏えい又は盗用
人を欺き、人に暴行を加え、人を
脅迫し、又は、財物の窃取、施設へ
の侵入等により個人番号を取得
※参考:内閣官房社会保障改革担当室「番号制度の概要」資料 他
参考:個人情報保護法の罰則
なし
© Hitachi Solutions, Ltd. 2015. All rights reserved.
16
3.6 マイナンバー対応にはセキュリティ対策が必要です!
業務システムをマイナンバー制度に対応させただけでは、
適切な安全管理措置を講じていることにはなりません。
マイナンバー制度に対応した
パッケージやシステム
特定個人情報に対する適切な
安全管理措置
マイナンバー
対応!
管理だけでなくセキュリティ対策も必要!
© Hitachi Solutions, Ltd. 2015. All rights reserved.
17
3.7 「マイナンバー管理ソリューション」の概要
© Hitachi Solutions, Ltd. 2015. All rights reserved.
18
3.8 マイナンバー管理ソリューション(安全管理支援)
安全管理支援により、マイナンバーが漏洩するリスクを低減できます。
© Hitachi Solutions, Ltd. 2015. All rights reserved.
19
3.9 安全管理措置の第一歩はクライアントPC対策から
情報管理というとデータベースやサーバに目が行きがちですが、
従業員が日々利用し、漏洩リスクが高いクライアントPCから対策
を始めるのが、より効果的です。
対策はまずはここから
自社管理区域
(サーバ室等)
データベース
ファイルサーバ
自社取扱区域
(事務所等)
従業員の
業務用PC など
情報提供先
(委託先等)
経路
USBメモリ
メール など
顧客
取引先 など
© Hitachi Solutions, Ltd. 2015. All rights reserved.
20
3.10 クライアントPCの対策は「出さない」「見せない」
クライアントPCの対策の基本は、特定個人情報等の重要情報を
正当な理由なく社外へ「出さない」こと。そして、業務の必要上、
社外に出す情報は、紛失しても決して第三者に「見せない」こと。
自社から情報を「出さない」
様々なデバイスや経路に許可なく
情報を持ち出すことを禁止する。
情報を紛失しても「見せない」
業務の必要上持ち出す情報は
必ず暗号化する。
© Hitachi Solutions, Ltd. 2015. All rights reserved.
21
3.11 スマホを経由した不正持ち出しには特に警戒が必要
スマホが爆発的に普及しています。スマホを経由した不正な
持ち出しには特に警戒する必要があります。
不正に接続
してコピー
MTPモード(※)等でPCに接続し、
データを不正コピー。
テザリング経由
の漏洩
スマホのテザリング機能を使って
PCから直接インターネットに接続。
※マイクロソフトが開発した、PCとスマートデバイス等をUSBケーブルで接続してデータを転送するためのプロトコル
© Hitachi Solutions, Ltd. 2015. All rights reserved.
22
3.12 デバイスに「出さない」対策には秘文
秘文なら、クライアントPCに接続可能なスマートデバイスやUSB
メモリ等、様々なデバイスをコントロールすることで、重要情報の
漏洩(不正コピー)を防止できます。
© Hitachi Solutions, Ltd. 2015. All rights reserved.
23
3.13 ネットワークに「出さない」対策にも秘文
さらに、秘文なら、スマホのテザリング経由の持ち出しや
公衆無線LAN、モバイルWi-Fiルータ、メール、Web(クラウド)、
SNS等への不正な持ち出しもブロックできます。
HITACHI BLOG
日 月 火 水 木 金 土
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 2006年9
月
2006年9
月
2006年9
2006年9
月
月
2006年9
月
2006年9
2006年9
月
月
2006年9
月
2006年9
月
2006年9
月
2006年9
2006年9
月
月
2006年9
月
2006年9
月
2006年9
2006年9
月
月
2006年9
2006年9
Wi-Fiテザリング
公衆無線LAN
/USBテザリング /モバイルWi-Fiルータ
メール
海・旅・
美味い物
月
月
2006年9
月
2006年9
月
2006年9
2006年9
月
月
2006年9
月
2006年9
2006年9
月
月
2006年9
月
2006年9
月
クラウドストレージ
/SNS
© Hitachi Solutions, Ltd. 2015. All rights reserved.
24
3.14 「見せない」対策にも秘文
持ち出す情報の強制暗号化は秘文の得意分野のひとつ。
強固な暗号化で重要情報を紛失等のリスクから保護します。
メディア暗号化
内蔵ドライブ
暗号化
光学メディア
暗号化
添付ファイル
暗号化
ファイル
暗号化
Web(クラウドストレージ)
暗号化
© Hitachi Solutions, Ltd. 2015. All rights reserved.
25
3.15 委託先に対する監督義務も必要
マイナンバー法(番号法)においては、委託者自らが果たすべき
安全管理措置と同等の措置が委託先においても講じられるよう
に「必要かつ適切な監督」を行う必要があります。
●委託先における安全管理措置(※)
(番号法第11条)
委託をする者は、委託した個人番号関係事務又は個人番号利用事務で取り
扱う特定個人情報の安全管理措置が適切に講じられるよう「委託を受けた者」
に対する必要かつ適切な監督を行わなければならない。
「委託先がやったことだから」という言い訳は通用しません。
※「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より一部を抜粋
© Hitachi Solutions, Ltd. 2015. All rights reserved.
26
3.16 委託先等への対策の基本は「放さない」
委託先等への対策の基本は、提供した情報の取扱状況を
把握し、万が一の場合には情報を参照できなくする等の処置を
取れるよう、渡した情報を管理する権限を「放さない」こと。
渡した情報を管理する権限を「放さない」
閲覧
停止
委託先等に渡した情報の取扱
状況を把握し……
必要に応じて、閲覧停止等
の措置を実施する。
© Hitachi Solutions, Ltd. 2015. All rights reserved.
27
3.17 秘文はファイルの保護と失効で「放さない」
秘文を使えば、委託先等に渡した情報の流出予兆を検知し、
万が一の場合は、閲覧の停止という措置を施すことができます。
自社
1次委託先
2次委託先
名簿業者等
流失の予兆を通知メールにより検知
閲覧
停止
閲覧
停止
閲覧
停止
流失した可能性の高いファイルを失効(閲覧停止)!
© Hitachi Solutions, Ltd. 2015. All rights reserved.
28
3.18マイナンバー管理ソリューション(安全管理支援)
安全管理措置としては、「なりすまし」や「不正利用対策」も必要です。
© Hitachi Solutions, Ltd. 2015. All rights reserved.
29
3.19 【ID管理・認証強化】
■製品構成
静紋、AUthentiGate、Entrust IdentityGuard、LDAP Manager
ID管理・認証強化
✔認証の強化とアクセス権管理の一元化
✔正規の利用者のみサーバアクセスを可能にする
認証強化
静紋
ID
パスワード
PC不正利用防止
なりすまし防止
二要素認証
Entrust IdentityGuard
乱数表
ワンタイムパスワード
パスワードは
g89u43eu
です。
AUthentiGate
アカウント情報
ID管理
LDAP Manager
人事情報
ID情報一元管理
デバイス情報(生体情報)
ログ情報
情報取り込み
各種認証サーバ
ユーザ情報
配信
重要情報へのアクセス権限を管理/認証強化でなりすましを防止
© Hitachi Solutions, Ltd. 2015. All rights reserved.
30
3.20 【監視・監査強化】
■製品構成
ESS REC、パワーセキュリティ
PISO、Oracle Audit Vault and Database Firewall(AVDF)、Splunk
✔PC操作やサーバアクセスの記録、不正アクセスを監視
✔ログ管理/相関分析により問題を早期発見、情報漏洩を抑止
監視・監査
Oracle
AVDF
パワーセキュリティ
ESS REC
PISO
動画
テキスト
PC・ファイルサーバの
操作ログ取得
DBアクセスをリアルタイムで
自動検知・通知
Splunk
各機器のログ捜査
リアルタイム相関分析
リアルタイム監視・取得したログの相関分析により不審なアクセスを早期発見
© Hitachi Solutions, Ltd. 2015. All rights reserved.
31
3.21 是非弊社にご相談ください。
主な商品一覧
分野
ソリューション例
マイナンバーコンサルテーション マイナンバーコンサルテーション
リシテア Flow
関連業務効率化支援
概要
企業のマイナンバー対応のプロジェクトの推進支援(制度理解、体制確立、
影響業務調査、対応方針策定 等)及び情報セキュリティ強化コンサルティング
従業員のマイナンバー情報のWeb画面からの入力及びOCR機能と
ワークフロー機能により効率的な収集業務システム
リシテア Report-i
従業員への法定帳票の配信システム
活文 ReportManager
大量の法定帳票の一括出力と保管システム
マイナンバー管理ソリューション
Meta Data Extractor Library
各種人事管理/給与管理システム
活文 Documents Rights Manager
大量のマイナンバー通知書をスキャナで読取り、番号情報を抽出するエンジン
(ライブラリ)
マイナンバー処理に対応する人事・給与管理システム
(FutureStage、Hi-PerBT 等)
社外に送付したマイナンバー帳票のアクセス権・操作権限を動的に
コントロール(統制)
秘文 Data Protection
法定帳票の閲覧制限と失効による情報流出(不正コピー等)防止
静紋
指静脈によるマイナンバー処理端末操作の認証や管理区域への入退室管理
LDAP Manager
組織に散在するID/パスワードを一元管理
ESS Rec
PCやサーバの操作監視とログ取得
秘文AE Information Fortress
データの持ち出し制御による情報漏洩防止
秘文AE Information Cypher
ドライブ・外部メディア・ファイル暗号化による情報漏洩防止
秘文AE AccessPoint Control
無許可のアクセスポイントへの接続及び許可されたVPN以外の
ネットワーク利用を禁止
秘文AE Wiper
PCやサーバ等の廃棄時のデータの完全消去
安全管理支援
© Hitachi Solutions, Ltd. 2015. All rights reserved.
32
3.22 本日のまとめ
マイナンバー制度は、官公庁だけでなく民間企業
の業務にも影響を及ぼします。
企業はマイナンバー対応として、業務システムの
改修に加えて、個人番号の収集と管理を行う必要
があります。
マイナンバーを取り扱う際、企業は委託先も含め
てガイドラインに定められている、安全管理措置
を実施する必要があります。
© Hitachi Solutions, Ltd. 2015. All rights reserved.
33
END
マイナンバー情報の
効率的な取り扱いと安全管理措置への対応
2015年4月16日
株式会社 日立ソリューションズ
© Hitachi Solutions, Ltd. 2015. All rights reserved.
・ 秘文、活文、リシテア、静紋、Prowiseは、株式会社日立ソリューションズの登録商標です。
・ FutureStageは、株式会社日立製作所の登録商標です。
・ Hi-PerBTは、株式会社日立ソリューションズ西日本の登録商標です。
・ LDAP Managerは、エクスジェン・ネットワークス株式会社の登録商標です。
・ ESS RECは、エンカレッジ・テクノロジ株式会社の登録商標です。
・ その他記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。