9月11日、シマンテックはマイナンバー制度の安全な運用を支援する情報保護ソリューションについての説明会を開催した。既存の製品・ソリューションによる情報保護の支援に加え、新たにマイナンバー対策のサイト立ち上げやガイドブックの配布などを実施する。
マイナンバー制度の対応をきっかけに情報保護体制の構築を
10月から施行されるマイナンバー制度に向けて、情報保護対策を支援するシマンテックの取り組みについて解説する今回の説明会。冒頭、登壇したシマンテック代表取締役の関屋剛氏は「10月に番号通知が始まるということで、ちょっと遅いんじゃないかという声もあると思うが、われわれとしては準備をしっかりした上で発表することにした」と説明。単なるマイナンバー制度への対応のみならず、包括的・長期的な企業の情報保護が必要だと訴えた。
10月から付与されるマイナンバーは、行政機関や地方公共団体が社会保障や税金、防災など事務で利用するだけではなく、民間事業者でも従業員やその扶養家族のマイナンバーを取得し、給与所得の源泉徴収書や社会保険の非保険資格者資格取得届などに記載が必要になる。そのため、企業でもマイナンバーの取得や保管、廃棄まで含めた取り扱いに適切な安全管理措置を講ずることが必要になり、違反や漏えいなどが合った場合には罰則が課せられることになる。
シマンテック APJソリューションマーケティング 金野隆氏は、既存の個人情報に比べて、「社員情報が特定個人情報になる(情報の質の変化)」「従業員以外の情報管理も必要(情報の範囲の変化)」「当事者のみならず企業も責任の対象に(責任範囲の変化)」といった大きな3つ変更点があり、特定情報保護委員会が発行するガイドラインに従わなければならないと説明。このガイドラインの内、特に「安全管理装置」の部分がセキュリティに関わる部分で、シマンテックでは今後増加が予想される標的型攻撃や内部からの情報漏えい対策をカバーするという。
マイナンバーを自動検知する情報漏えい対策
シマンテックでは、基本方針や取り扱い規定、組織的安全管理装置などをコンサルティングサービスなどでカバーするほか、物理的安全管理装置における電子媒体を持ち出す場合の漏えい防止、および技術的安全管理装置(アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えいの防止)などを製品・ソリューションで対応する。基本的には既存の製品ソリューションを活用し、ネットワークやメール、Web、エンドポイント、サーバーなどの複数の保護ポイントで、不正アクセスの侵入や情報漏えいを防ぐ。
同社はマイナンバー制度をきっかけに、企業の情報保護体制を強化するのを推奨しており、マイナンバーに関するサイトを立ち上げると共に、「マイナンバープロテクションガイド」(事業者編/行政機関・地方公共団体編)を無償提供する。また、8月からは同社の漏えい対策ソリューション「Symantec Data Loss Prevention」において、新たに「マイナンバー検知・制御ポリシー」の提供を開始。12桁の数字を検知し、計算式に応じてマイナンバーと特定し、外部への漏えいを防ぐという。
発表会の後半では、税理士や社労士と連携することで、情報の一元管理と安全管理装置をワンストップで提供する「マイナンバーステーション」を提供するエフアンドエムネットがユーザーとして登壇した。マイナンバーステーションでは、通常、CSVを使って手作業で行なうマイナンバーシステムと業務システムとの連携をAPIで自動化。こうしたシステムを安全に利用するため、ワンタイムパスワードやEV証明書、サイト改ざん検知用のWAF、データ暗号化、情報漏えい対策など幅広くシマンテックの製品を導入。高いセキュリティはもとより、開発コストや運用人員の削減を実現したという。