マイナンバーをパソコンで管理するために必要な3つのセキュリティ対策

マイナンバー制度の施行に伴い、すでに従業員や取引先からマイナンバーを収集した企業が多いことでしょう。しかし、集めたマイナンバーをどのように保管・管理するかは、小規模事業者にとって大きな悩みの種です。ここでは、パソコンで保管・管理する際のセキュリティ対策のポイントについて考えてみます。〔取材協力：株式会社 富士通マーケティング〕

マイナンバーはパソコンで管理したほうが利便性は高い

マイナンバー対策はすでに完了していますか？　日本商工会議所が今年（2016年）7月に全国の2,962社にヒアリングして調査した結果、対応を完了している中小企業は43.2％という結果でした。対応中と答えた25.4％が、その後3カ月の間に完了していたとしても合計で68.6%。約3割の企業が未対応という状況です。

マイナンバーを取り扱うにあたってのセキュリティ対策は、個人情報保護委員会が作成している「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」にまとめられています。しかし60ページにもおよぶ冊子となっており、内容を読み込んで理解するのは大変だと思います。

このガイドラインの趣旨を簡潔にまとめると、個人番号及び特定個人情報の漏えい、滅失または毀損の防止など、特定個人情報などの管理のために、必要かつ適切な安全管理措置を講じなければならない……ということになります。とは言っても、「必要かつ適切な安全管理措置」を具体的にどのように実施すればいいのか、対処に困る方も多いと思います。

特に小規模事業者では、パソコンを使わずに紙でマイナンバーの保管・管理している事業者も多くいらっしゃいますが、いろいろと課題が出てきます。例えば、他の書類などに紛れこんでしまったり、簡単に外に持ち出しやすいなど、紙で物理的に残している場合には紛失や漏えいのリスクは高くなります。また、情報を閲覧するたびに利用記録を手書きで記載することになるため、手間や利用記録の信頼性の観点からも、パソコンや保管サービスを利用したほうが管理する負担が軽減されるでしょう。

弥生が8月に行ったマイナンバーに対する調査でも、事業者がマイナンバー制度の運用でいちばん不安に感じている点は「個人情報の漏えい・紛失とセキュリティ対策」が最も多い結果となりました。

マイナンバーをパソコンで管理する際のセキュリティ対策はどんなことが必要？

パソコンでマイナンバーを保管・管理したり、または保管サービスを利用したりする場合、パソコンのセキュリティ対策が必須条件となります。その対策のポイントは、「パソコン利用時のログイン対策」「ネット経由の攻撃対策」「データの不正持ち出し対策」の3つです。

【ポイント①】パソコン利用時のログイン対策

マイナンバーを保管・管理するパソコンは誰もが簡単にログインできてはいけません。パソコンを利用するためのIDとパスワードを設定し、どのように運用するかが重要です。とはいえパスワードを複雑化し、また定期的に更新すればセキュリティは高まりますが、利便性は下がります。

一方、利便性を重視してパスワードを長期間使い回すことを放置すれば、不正アクセスのリスクが増えますし、パスワードを社内で共有すれば利用者を特定することが困難となります。パスワード認証では、セキュリティと利便性は両立しないのです。

社員のIDカードを利用した認証方法もあります。ただしこれも一見便利そうですが、カードの貸し借り、盗難・紛失、偽造などによる「なりすまし」や「不正利用」のリスクはあります。

そこで現在導入している企業が多いのが、指紋認証をはじめとした生体認証です。そのなかでも、高精度で利便性の高い「手のひら静脈認証」が特に注目を集めています。手のひら静脈認証は、センサーに手をかざすだけで瞬時に高精度な本人認証が可能です。また、手のひら静脈認証は指紋認証に比べて、体内情報なので偽造がより困難で、気温や湿度などの影響も受けにくく、経年変化がないという特徴があります。

【ポイント②】ネット経由の攻撃対策

管理しているパソコンは、アンチウイルスソフトを導入したり、OSのアップデートといったセキュリティ面から考えてもネットに接続しておく必要があります。アンチウイルスソフトは各社から数多くリリースされていますが、日々新種のウイルスが誕生している昨今は、昔ながらの検出方法では手に負えないのが実態です。実際、最新のアンチウイルスソフトでは、疑わしいものは隔離して安全を確認するという手法がとられています。

ここ数年は、パソコン内のデータをすべて勝手に暗号化して、解除してほしければお金を払えという「ランサムウェア」というものが流行しており、いかに水際でウイルスを入れないかが大変重要になってきています。

さらにアンチウイルスソフトを導入することに加えて、

• メールに添付されたファイルによる攻撃を受けないようにするために、メールソフトを搭載しない
• Officeソフトのマクロウイルスを利用した攻撃対策のために、Officeソフトを搭載しない
• マイナンバー業務で不要なホームページにはアクセスできないようにする

というのも有効な対策です。業務で使用しないソフトは削除してしまい、またアクセスの必要がないネットワークから切り離してしまうことで、ネット経由の攻撃リスクはかなり低減されるといえるでしょう。

【ポイント③】データの不正持ち出し対策

最後に重要なのは、パソコン内のデータが持ち出されないようにするための対策です。データを保存する機器（ストレージ）をパソコンに接続すれば、簡単に情報をコピーして持ち出すことができてしまいます。そのため、USBメモリ、外付けハードディスク、スマートフォンをUSBケーブルで接続するなどの機能は無効にしておくことや、DVDドライブはDVD-Rなどへの書き込みが不可能な読み込み専用タイプにしておくことなどの対策が必要です。

また通信機能においても、Bluetoothや無線LANは無効にして、ネットワークに接続する場合は有線LAN経由のみとすれば安全性は高まります。それに加えて、盗聴・盗撮するウイルスの脅威を防御するため、業務で使うことのないマイクやカメラは搭載していないパソコンのほうがよいでしょう。

そして万が一の流出に備えて、利用者のファイル操作や利用したアプリなど、Windows上の操作内容が記録できるツールを導入しておくことも有効な対策です。一般的にマイナンバー対応のソフトウェアなどは利用状況のログが記録される仕様となっていますが、データ持ち出しの記録などパソコン本体の操作も履歴を確認できるようにしておけば、セキュリティ対策はさらに強固なものとなります。

さて、これまでお話ししてきたように、マイナンバーを確実に管理するためには、マイナンバー業務を行うパソコン自体に厳重なセキュリティ対策が求められます。ただしどのようなパソコンを選び、どのようなソフトウェアを導入すれば良いかを判断するには専門的な知識も必要となり、またそれぞれを個別に対応すると、意外と手間も費用もかかります。

マイナンバー管理に特化した機能をすべて備えたパソコンを導入するなど、マイナンバー対策のための労力と費用を最小化して、安心・安全な管理を実現しましょう。