企業のマイナンバー管理 「クラウド頼み」の死角 ラック 取締役 専務執行役員CTO(最高技術責任者) 西本 逸郎 2015/10/7 3:30 日本経済新聞 電子版 いよいよ5日から、税と社会保障の共通番号(マイナンバー)制度の番号通知が始まっ た。来年1月に制度が始まると、企業は給与を源泉徴収票に記録する際などでマイナンバ ーを扱う。法令によって、企業はマイナンバーの収集から保管、利用、廃棄までの間の厳 格な安全管理が求められている。特にネット経由で外部のサーバーに情報を記録する、い わゆるクラウドサービスでマイナンバーを管理する場合には、従来以上の危険性があるこ とを知っておく必要がある。 「そもそもマイナンバーのような重要な情報 はクラウドに記録しないだろう」と考える人もい るかもしれない。確かに、かつては給与や財 務会計などの基幹系システムは自前の社内 システムを構築する企業が多かったが、最近 ではさまざまな用途でクラウド利用の比率が 高まっている。 2015年版の情報通信白書によると、クラウド サービスを「全社的に利用している」「一部でも マイナンバー制度がスタートし、街頭でPRする公式キャラク ターの「マイナちゃん」(5日午後、横浜市)=写真 柏原敬 樹 利用している」という企業の割合は合計で 38.7%と前年比で約5%増えた。そのうち「給与、財務会計、人事」に利用しているという比率 は19.6%に達している。 管理に手間がかからず、導入コストが低いことから、マイナンバーの管理を外部のクラウド 事業者に委託する企業が増えるとする報道もある。そうした中で、規模の大小はあっても、い ずれはデータの消失や漏洩などのトラブルが発生することは容易に想像できる。 ■第二のファーストサーバ事件の恐れ 2012年、クラウド上に置かれた約5700件もの顧客データが一瞬にして消失する事件が起き た。ヤフー子会社でレンタルサーバー運営のファーストサーバが引き起こしたもので、被害者 の多くが法人で、名の通った企業や公的機関も含まれていた。 大量のデータが消失した原因は、同社がサーバーの保守作業で運用ミスを重ねたことにあ った。同社は一時的なバックアップも取っていたが、保管先が同じサーバー内のハードディス クだったこともあり、誤った命令によって同時に消えてしまった。さらに消失したデータを一部 復元したものの、別の顧客データが混在しており、情報漏洩まで引き起こした。サーバーの不 具合やうっかりミスでデータが消えてしまうことは珍しくないが、これほど大規模な消失は前代 未聞だった。 国民の間にはマイナンバーの情報漏洩を心配する声は根強い。マイナンバー制度が開始と なる今後、ファーストサーバ事件と同じようなトラブルが発生し、マイナンバーや特定個人情報 (マイナンバーを含む個人情報)が漏洩した場合、どうなるのだろうか。 ■故意でなければ罰則なし 実は、仮にデータが消失したり漏洩したりしたとしても、故意や極めて重い過失が認められな い限りは法に基づく罰則の対象とはならない。ただ、マイナンバーを扱う企業として、風評被害 による信用の失墜やイメージダウンは免れないだろう。このことを考えると、セキュリティーの 観点というよりは、まず法令順守の観点から、クラウドに預けるデータにマイナンバーなどを含 めることについて十分な考慮が必要だ。 たとえマイナンバーが漏洩しても、きちんと暗号化しておけば全く問題ないという考え方は誤 っている。暗号化してもマイナンバーはマイナンバーであり、特定個人情報であることに変わり はない。このことは、特定個人情報保護委員会が公開しているQ&Aで「暗号化で秘匿化され ていても、個人番号を一定の法則に従って変換したものであることから個人番号に該当しま す」(Q9-2、概略)と明確に示されている。つまり、暗号化していても適切な安全管理措置を 講じなければならないことには変わりない。 暗号の強度が十分に担保されていれば、実質的な被害は免れられる。適切に処理された暗 号そのものが解かれることはないからだ。むしろ問題になるのは暗号化に必要な「鍵」の管理 が甘いケースだ。特定の標的を狙い撃ちするサイバー攻撃によってパソコンが遠隔操作ウイ ルスなどに感染し、鍵を盗み出されてしまうと、暗号化したファイルをいくら厳重に保管してい ても意味がないことになる。暗号化したデータよりも、むしろ鍵こそ厳重に管理しなければなら ないのだが、そうはなっていないのが現状だ。 ■「割り符」で分散記録する そうはいっても、クラウドサービスのコストや運用 面のメリットは大きい。会社の方針や経費の関係 によって、クラウド上でマイナンバーや特定個人情 報を管理せざるを得ないという場合にはどうすれ ばよいのだろうか。一つ考えられる手として「割り 符(わりふ)」というセキュリティー業界では一般に マイナンバーの個人番号カード 使われている秘密分散の技術を取り入れる方法 がある。割り符とはその昔、木の板に文字を書いて二つに割り、相手に渡すことで契約の証拠 としたもので、その現代版と考えると理解しやすい。 暗号化はデータにただ鍵をかけるだけで中身は元のままだが、割り符ではデータがいくつか に分割されるため、一つ一つの「かけら」は意味のない数字の羅列にすぎなくなる。マイナンバ ーの管理にも、この割り符の仕組みを応用するのだ。先に示した特定個人情報保護委員会の Q&Aには「ばらばらの数字に分解されたものについても全体として個人番号であると考えら れる」とある。この点について詳細をマイナンバーのコールセンターに確認したところ、分解さ れたそれぞれは特定個人情報とはみなさないとのことだった。うまく割り符を使った暗号化を 活用することで、万が一の際のトラブル拡大を防ぐことができるだろう。 ■自動バックアップが脅威に ファーストサーバ事件はもう一つの重大な問題を私たちに提示してくれた。それは、顧客の 知らないうちにバックアップが取られてしまうケースがあることだ。何が問題なのかと不思議に 思う人もいるだろうが、もし管理方法が適正でない場合、データの保存場所が増えれば増える ほど、そのバックアップ先から情報が流出する可能性は高まる。バックアップ作業のミスがデ ータ消去につながる恐れもある。 本来、データのバックアップは預けた側の責任でなすべきことだ。顧客の依頼でなく、運営者 が勝手にバックアップを取るのは、自分たちのサービスに障害が発生しても事業を継続させる ためのリスクヘッジの意味がある。これは管理に万全を求める顧客の「意図」をくんでクラウド 運営者が自ら行う、きわめて日本的なサービスといえる。 ファーストサーバ社の場合は利用約款に「システム保安上の理由等により、契約者保有デ ータを一時的にバックアップする場合があります」と明記しているが、ざっと調べた範囲では 「自主的バックアップ」には一言も触れていないクラウドサービスの約款が散見される。 明記されていない場合、実際のところはどうなのか。善意でやっていることでも、データは顧 客の資産であり、バックアップを取るなら了解を得ることが大前提となる。しかし、サービスを 提供している事業者の立場からすると、顧客に対して「マイナンバーは含みませんよね?」な どと話をするのもまた「やぶへび」になると考えてもおかしくない。ユーザー側から積極的に問 い合わせる姿勢を持つことが大切だ。 給与や会計の管理にクラウドサービスをすでに利用している、また今後の利用を検討中の 企業は、一時的にでもデータが勝手にバックアップされることはないか、そこにマイナンバーが 含まれることはないかといった点を総点検していただきたい。その結果、マイナンバーを安全 に取り扱うための検討を突き詰めていくと、クラウドサービスの契約内容の是非にまで波及す る可能性もあることを忠告しておきたい。 西本 逸郎(にしもと・いつろう) ラック取締役CTO。北九州市出身。1986年ラック入社。 2000年からサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマート フォンセキュリティ協会事務局長、セキュリティ・キャンプ実施協議会事務局長などを兼務。 著書は「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)。 Copyright © 2015 Nikkei Inc. All rights reserved. 本サービスに関する知的財産権その他一切の権利は、日本経済新聞社またはその情報提供者に帰属します。また、本サービスに 掲載の記事・写真等の無断複製・転載を禁じます。
© Copyright 2024 ExpyDoc
