セキュリティ対策とプライバシー保護の対策は異なる。プライバシー保護は難しくない。実はマイナンバー制度は「我が社の、この業務」に最適な対策を検討できる方法を用意している。

情報システムだからできるプライバシー保護

 企業から「セキュリティ対策なら分かるが、プライバシー保護のために何をすればよいか分からない」という声を聞くことがある。プライバシー保護というと、何やら雲をつかむような、打ち手の分かりにくい対策だと考える人もいるようだ。しかし、特殊な技術が求められるわけではない。

 例えば、大量のマイナンバーを入手して売却するといった不正を防ぐことを考えてみよう。他人のマイナンバーを勝手に閲覧したり、データを入手したりするのを防止するには、個人情報にアクセスできる人の権限管理や証跡監査、ダブルチェックなどが有用だ。閲覧できる機器や場所を制限する、外部機器へデータを持ち出せないようにするといった、現実世界の物理的な対策のほかに、情報システム上でも大量の不正持ち出しを防ぐ工夫が考えられる。

 一度に大量のマイナンバーを収集できるシステムだと、不正が発生するリスクが高まる。単純な対策としては、検索の機能を制限する手がある。文字列の「部分一致」による検索をできなくするのだ。マイナンバーの部分一致検索を認めてしまうと、マイナンバーに「1」が含まれる人をまとめて閲覧したり、「A市」に住所を持つ人全員のマイナンバーを取得したりできるようになる。

 マイナンバーの表示を工夫する方法もある。例えば、検索結果の一覧にはマイナンバーを表示せず、1件ごとの「詳細画面」のような個別のページ(個票)でしかマイナンバーを表示しないようにする(図1)。短時間でマイナンバーを大量に収集できなくするわけだ。

図1●マイナンバーの表示は検索結果個票に限る画面の設計例
図1●マイナンバーの表示は検索結果個票に限る画面の設計例
[画像のクリックで拡大表示]