share facebook facebook2 twitter menu hatena pocket slack

2015.07.16 THU

個人情報、プライバシー、マイナンバーの違いを説明出来ますか?

WRITTEN BY齊藤 愼仁

iret-certificates

シンジです。この違いお分かりでしょうか?改めて考えてみると、結構難しいですよね。特に個人情報とプライバシーの違いについては、現在でも議論され続けている内容です。加えて話題のマイナンバー制度では、特定個人情報と言われるものが追加されます。会社はこれらの情報を、どうやって守れば良いのでしょうか。そしてこれらはAWSで扱えるのでしょうか。

プライバシーマーク制度のWebが分かりやすい

iret-privacy-mark

プライバシーマーク制度(一般財団法人日本情報経済社会推進協会(JIPDEC)
http://privacymark.jp/

よくわかるプライバシーマーク制度
http://privacymark.jp/wakaru/index.html

こちらのWebを参考に、要約してご紹介します。
(転載には許可が必要ですのでご注意下さい)

個人情報保護法ではプライバシーは守られる?

直接的では無いものの、結果的には守られることになります。大変分かりやすい例えがあります。

郵便の配達者が配達先を特定するために、個人を特定できる情報として、封筒の宛名が必要となり(個人情報の利用)、送られてきた封筒を受け取った本人は、封筒の中身に記載されている内容は他人に知られたくない個人的な事柄なので、その内容は本人のプライバシーということができます。

個人情報保護法は、プライバシーの保護を対象とはしていません。ただし、このような法律やJSI Q 15001などの規格が守られることで、意図しない「個人情報」の取り扱いが抑制され、結果的にはプライバシーも保護されるようになっていくのです。

また、個人情報は取得段階にて利用目的が明確化され、本人の同意を得なければならないこと、目的外には利用してはならないとされています。

個人情報保護法7つの義務

  1. 個人情報の利用目的の特定
  2. 個人情報の適正な取得、利用目的の通知
  3. 正確性の確保
  4. 安全管理措置
  5. 第三者提供の制限
  6. 開示、訂正、利用停止
  7. 苦情の処理

プライバシーマーク制度では個人情報は守られる?

守られます、むしろ個人情報保護法よりも厳しい基準で守られていると考えられます。

プライバシーマークの認定基準となっている「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」は、個人情報保護法よりもより高いレベルで「個人情報」の取り扱いを求めています。

ただし、プライバシーマーク制度は、「個人情報」に関するトラブルが100%起きないことを保証するものではありません。 プライバシーマーク付与事業者は、「個人情報」の保護体制を整備し、トラブルにつながるリスクへの対応策を実施し、「個人情報」をより安全に管理する努力を行っています。

きたるマイナンバー制度、特定個人情報の特定とは

特定個人情報とは、「個人番号」を内容に含む個人情報の事を指します。個人番号=マイナンバーです。今年の10月より、住民票をお持ちの全ての方に発行される個人番号、一度指定された個人番号は、生涯変わる事はありません。発行は10月ですが、利用開始は翌年の1月からとなります。間もなくです。

利用形態としては、例えば、企業は「給与を支払う」タイミングで、地方自治体などに提出するようになります。ここで企業はマイナンバーを積極的に利用せざるを得ない状況になります。

マイナンバーだけでは個人を特定することは困難ですが、マイナンバーと共に個人情報が付与されるケースが大半な為、行政は「特定個人情報の特定」をしなさいと言っています。ややこしいですね。

影響を受けるのは総務部門だけでは無く、社労士などのシステムも関わるため、とある企業のみが厳格な対応を行えば、安全(マイナンバー制度に適合している)とはいえない点が重要です。 現在は、企業や組織におけるシステムの根幹的な部分に影響を与える制度にも関わらず、企業側の準備体制が追いついていない点が問題視されています。

企業側の準備態勢とは具体的に挙げると、

  1. 従業員のマインバーをどうやって収集するか
  2. 収集したマイナンバーの本人確認をどのように行うか
  3. マイナンバーの安全管理はどうしたらよいのか
  4. 税務関係書類で安全に利用するにはどうしたらよいか

これら全てを企業が用意しなければなりません。なんだか無茶苦茶な話しにも聞こえますが、法律で決まってしまった以上は仕方ありません。法令遵守しなければどうなるのでしょうか。

マイナンバーが漏洩すると、個人・企業の両方に罰則があります

番号法は個人情報保護法と比較して違反行為に対しての罰則が強化されています。例えば、従業員が特定個人情報を不正に漏洩したら、

  • 「従業員個人に4年以下の懲役・200万円以下の罰金刑」
  • 「所属企業には200万円以下の罰金刑」

が科せられる場合があります。

要するに漏れなきゃいいんです。企業規模によって対策方法は大きく変わる事が読み取れます。何を持ってして「漏れたとするのか」が難しいところですが、企業としては責任分界点を明確にするためにも、収集のタイミングから全てのトレーサビリティを確保することが望ましいでしょう。

これらをAWS(クラウド)で扱えるのか

可能です。ただし、適切な構築と運用が必要となります。それは、オンプレミス環境でも同様です。プライバシーマーク制度については、ファシリティについて言及してくる要件もありますので、「物理の対策」がとても大事です。(特定の人物しか入れない部屋があり、そこに情報が集約されている、等)

ここで、クレジットカード番号を収集・利用する場合を想定した、厳しく情報管理されるAWS環境のCDP(クラウドデザインパターン)を見てみましょう。

  • PCI DSSのCDP(クラウドデザインパターン)の例
    simple-pcidss-cdp

これは、PCI DSS認証取得に向けた、最小のCDPです。あくまで認証取得を目的としており、継続更新や運用を行うためには、更にステップアップした構成が必要となります。ログの取得にはAWS CloudTrailも併用します。これは、個人情報を取り扱う場合にも適用可能なCDPです。特徴的な点は、全てのEC2でTrend Micro社の Deep Securityが動作していることです。

trend-micro-deep-security

Trend Micro社の Deep Securityとは、

  • ウイルス対策(Webレピュテーション機能付)
  • Webアプリケーション保護
  • 侵入検知・防止(ホスト型IDS/IPS)
  • ファイアウォール
  • ファイルやレジストリなどの変更監視
  • セキュリティログ監視

これらを全て提供してくれるトータルセキュリティアプリケーションです。cloudpackでは専門のチームを設けて、積極的にお客様環境へ導入しています。Deep Securityの特徴は、セットアップ自体は容易だが、運用が非常に難しい点にあります。例えば、攻撃を検知した時に、それが本当に攻撃なのかをどう判断するのか。不正アクセスがあった場合に、確実に防御出来ているというログはどこで判断するのか。cloudpackでは、MSPの24時間365日運用に乗せることで、スペシャリスト達がDeep Securityの運用監視を行っています。

【参考】
securitypack|AWS専業のcloudpack
https://cloudpack.jp/service/option/securitypack.html

マイナンバーのソリューションが乱立してきた

各社が様々な観点で、マイナンバー対策ソリューションを出してきています。個人的に「これ面白い」と思ったサービスがありますのでご紹介します。

フレッツ光の「回線認証機能」による強固な認証を実施します。万が一、IDやパスワードが流出しても、ご契約のフレッツ光回線以外からのアクセスはできません。

フレッツ光に限った話 で、その契約ごとに割り立てられた「固有の回線番号」を見て、マイナンバーへのアクセス制限をするという、NTT東日本らしいと言いますか、NTT東日本だからこそ出来るセキュアなサービスです。

逆に言えば、社内の人間にIDとパスワードが漏れた場合、その回線を利用している以上は、特定個人情報へアクセス出来ると言うことですね。

というわけで、マイナンバー専用に、フレッツ光を新規で収容すれば解決なのでは?

で、このサービスのなにが凄いって、

  • 初期費用無料
  • 月額500円(10GB)
  • いつ解約してもよし

中小企業には、なかなかいい感じのサービスなのでは無いでしょうか?cloudpackはフレッツ回線が諸事情で使えないので、検証すら出来ないのが悲しい(虎ノ門ヒルズではフレッツ光ベストエフォートが遅すぎて使えないのです)

まとめ

個人情報、プライバシー、マイナンバーは、それぞれ全く意味が違うものの、どう守られるかの根本は近しいように見えますよね。

インターネットに繋がる以上、完璧なセキュリティなど存在しません。どのような対策をしているか、それを明文化しているかが重要となります。

マイナンバーについては、社内規定を作らなければならない面も多いでしょう。ファシリティ対策が大がかりすぎてカバー出来ない場合は、金庫などを使うアナログな手法も実は効果的です。お手軽にコンプライアンスを遵守させる基準を作るという意味で、プライバシーマーク制度を取得されていない方は、こちらにチャレンジされるのも良いと考えられます。

既にプライバシーマークやISMSをお持ちの方は、それらのPDCAサイクルが回っているでしょうから、マイナンバー対策では、収集や証明、社労士や税理士などとの連携、利用方法の部分をどうカバーするかに焦点があたるのかもしれません。

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。