クローズアップ Special View マイナンバー・ソリューション 「セキュリティ機能」と「使いやすさ」で選んでいますか?

今年(2016 年)1 月から開始されたマイナンバー制度。企業では従業員とその被扶養家族のマイナンバーを収集、金庫に保管し、来たる年末調整業務をどう乗り切るかに備えていることだろう。とはいえ、今後「医療分野」「金融分野」での利用も囁かれている現在、多くの企業ではマイナンバーを使った業務に向けて、どう管理・運用すべきか、どんなソリューションを選択すべきか検討しているのではないだろうか。
重要視すべきことは何だろうか? 内閣府の『特定個人情報の適切な取り扱いに関するガイドライン(事業者編)』(以下・『内閣府ガイドライン』)で定められている通り、マイナンバーを含む「特定個人情報」の取り扱いには、内部からの情報漏えいリスクに備える<情報漏えい対策>と外部からの攻撃リスクに備える<標的型攻撃対策>および<ネットワークセキュリティ>が必要とされている。従業員のマイナンバーなど特定個人情報の漏えいが発覚した場合、その事業者に対して罰則規定もあり、強固なセキュリティシステムでのマイナンバーの運用管理が求められていることも悩ましいところだ。
一方で、実際にマイナンバーを取得(収集)し、使用・廃棄までの業務の中では、既存の基幹システム(人事・給与システム等)との連携や直観的に操作可能なインターフェイスで「使いやすさ」も求められている。高いセキュリティ性能と使いやすさ。この相反する要求を満たすマイナンバーソリューションのひとつに、大興電子通信株式会社(以下・大興電子)が昨年発売したマイナンバー対応セキュリティアプライアンスサーバ「D's Guardian」(以下・DG)がある。同社・営業推進部にお伺いして、その特長を詳しく聞いた。

Special View 1 セキュリティ機能 ー 4 つの権限を設定でき、クライアント PC の作業ログすべてを記録

専用サーバとしてセキュリティ面でのメリット
マイナンバーソリューションサービスは大きく分けて 3 つある。ひとつはクラウドを利用した収集/保管サービス、ふたつめが既存の ERP にマイナンバー業務アプリを付加していくもの、そして 3 つめがマイナンバー専用のアプライアンスサーバだ。同社・営業推進部副部長 板倉守男さんは、「インターネットに接続されているということは、いつでもどこからでもハッキング対象になり、危険を完全には除去出来ません。またERP にアドオンするソリューションでは、将来のシステム変更時にマイナンバーの移行に労力と神経を使うことにもなる。ですので、マイナンバーを単独で管理・運用出来る、セキュリティ機能を備えたアプライアンスサーバの開発となりました」とDG開発の経緯を語った。(DG の構成は図 1 参照)
セキュリティ機能は、『内閣府ガイドライン』の<技術的安全管理措置>に準拠しており、ID/Password 管理、暗号化、ログ管理(DGサーバログ)、ログ管理(クライアント PC ログ)、権限管理、IT 資産管理、内部監査レポート作成など 13 の項目に及んでいる。「どこまでのセキュリティ機能が必要なのか、何度も『内閣府ガイドライン』を読み返し、直接内閣府とやりとりしながら、セキュリティの仕様を最終的に決めていきました」と板倉さん。

4つの権限と従業員に向けには登録専用画面を提供
セキュリティ機能の特長は、最高権限の「DA(サーバ管理者)」から「SA(セキュリティ管理者)」「MA(マイナンバー管理者)」「MU(マイナンバー閲覧権限者)」と 4 つの権限を設定でき、クライアント PC からのアクセスを権限に応じて管理する。 そして、いつ、どこで、どの PC が DG にアクセスし、どんな作業をしたかすべてのログを残す。さらにクライアント PC の起動から終了までのすべての操作ログも記録する。内部からの情報漏えいを未然に防ぐという意味で、徹底したセキュリティ機能と言える。4 つの権限にプラスして一般の従業員に向けては、「Employee」という権限を設定。従業員自らマイナンバーを登録出来る Web 専用画面を提供し、マイナンバーの収集に機能させている。「LAN 内の専用サーバとして、内部からの情報流失を防ぐことが出来れば、これほど安心なことはありません。特に、株主様などの個人支払先が多く従業員同様のマイナンバー管理が必要な企業や、既存システムを変えずに運用したいと考えている企業のみなさまにもご検討いただきたいと考えています」と板倉さんは自信をのぞかせる。
また管理部門が複雑多岐に渡っていて、マイナンバー制度を契機により安全な管理体系を構築したいと考えている企業にとっても、DG は導入に値するサーバになっているだろう。

>>セキュリティアプライアンスサーバ『D's Guardian』のホームページへ

Special View 2 マイナンバーの取得(収集)から廃棄に至るまでのプロセスで安心して使えるシステムとして

1台でマイナンバーの運用の全プロセスをカバー
DG は高度なセキュリティ機能を備えたマイナンバーの取得(収集)、登録/保管、利用〜提供、廃棄などが可能な統合ソリューションである。DG がカバーするマイナンバー業務の概要は、図 2 のチャートの通り。
原則的にマイナンバーは、DG で一元管理する。そして DG に保管されたマイナンバーを照会し、申告書や帳票類の作成に利用するとき、前述したセキュリティ機能によって権限に応じたアクセスとなり、セキュリティが担保される。マイナンバー取得から廃棄まで、企業が実際に直面するフェーズに沿って、マイナンバーに関する主な機能は、右の図 2 の通りになっている。
このように DG は、他のシステムとさまざまな形でデータのやりとりを図りながらマイナンバーの取得(収集)から廃棄に至るまで、高いセキュリティ環境のもと、マイナンバー業務を遂行できるシステムとなっている。
新規事業推進部・シニアマネージャーの水元 勝則さんは、「マイナンバーを記載 する必要のある申告書類の作成時、DG にアクセスし、データを連携させたりまた閲覧参照したりして業務を進めていくことが可能です。マイナンバーを連携させた既存の人事・給与システムなどのログも DG の監視対象。ですから DG1 台でマイナンバーとその業務全体を管理していくことをお勧めしたい」と語る。

>>セキュリティアプライアンスサーバ『D's Guardian』のホームページへ


NEXT PAGE

【1】【2