一部のユーザー企業やベンダーの間で、マイナンバー制度のシステム対応についての誤解が広がっている――。最近、マイナンバー制度に詳しい関係者からこんな指摘が出ている。
関係者の話を総合すると、誤解は大きく三つある。
一つ目は、「個人番号(マイナンバー)を暗号化すれば、個人番号として扱わなくてよい」。クレジットカード会員データを安全に取り扱うためのシステム基準である「PCI DSS」で、カード会員データを暗号化して保管する手法が挙げられている。
それを根拠に、マイナンバー制度でも、個人番号を暗号化する方法が提案されているという。一部のベンダーは、誤った理解のまま暗号化機能を実装し始めている、との指摘もある。
しかしマイナンバー制度では、暗号化しても求められる管理方法は変わらない。特定個人情報保護委員会は2015年4月にガイドラインの「Q&Aの追加・更新」を公表し、暗号化などをしても個人番号に該当するという回答を加えた。従来「個人番号が一定の法則に従って変換されたものも個人番号に当たる」と説明されてきたので、誤解の余地はないはずだ。
既存の人事給与システムなどとは別に導入した、個人番号を扱う専用データベース(DB)を、社内の個人情報にひも付けられる状態にして構わない。これが二つ目の誤解だ。
正しくは、個人番号を使い既存DBの給与情報などにアクセスできる状態である場合は、画面に個人番号を表示しなくても、既存DB全体がマイナンバーにひも付く「特定個人情報」に該当する。
特定個人情報の範囲については、「情報保護評価指針(内閣官房案)の概要」や「特定個人情報保護評価指針」に説明がある。情報保護評価は個人番号を扱う行政機関などに義務付けられるもので、企業は任意で行う。だが企業は、こうした資料も参考にシステム対応を進める必要がありそうだ。
システム管理者にもアクセス制御
三つ目は誤解というより甘い考え方で、個人番号を扱う専用DBを切り分けたことで満足し、厳密なアクセス制御を怠るケースが目立つという。
事業者向けガイドラインでは、「ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する」と例示している。つまり、番号関係事務実施者だけが特定個人情報にアクセスできる(図)。
行政機関向けガイドラインに補足する詳しい説明がある。それによると、システム管理者であっても、「特定個人情報ファイルの内容を知らなくてもよいのであれば、特定個人情報ファイルへ直接アクセスできないようにアクセス制御をする」。この考え方は、「行政機関だけでなく事業者でも全く同じ」(特定個人情報保護委員会)という。
実際、日本オラクルなどITベンダーの中には、DB管理者とセキュリティ管理者の権限を分けて、「DB管理者でも特定個人情報にアクセスできない」という機能を打ち出す動きもある。誤解を基にシステム対応を進めて、やり直す事態に陥らないように、情報収集は不可欠だ。
