【事例】マイナンバー対応のシステム構築 ―物理的安全管理措置編―

本コラムは弊社鈴与シンワートの社内システムを担当している企画部の部長が実際の業務及び業務を通して実践した、
システム構築や保守・運用、認証取得などを専門である情報セキュリティの観点を交えてレポートします。

今年の1月から「社会保障・税番号制度」がスタートしました。いわゆるマイナンバー制度です。弊社でも雇用保険や支払調書、源泉徴収などで人事部がお役所に届け出る際に、社員のマイナンバーを収集・保管・利用する（個人番号関係事務実施）必要があり、2月から社員の通知カードのコピーを提出させるようです。このあたりの個人番号関係事務などについては人事部が専門のため、一旦置いておき、社内システム担当としては、番号データの保護に必要なシステムなどの情報セキュリティ強化を、昨年の10月から手を付け始めましたので、その模様を3回に分けてレポートします。

輝ける初回の今回は弊社が実際に行った「物理的安全管理措置」について報告します。
「物理的安全管理措置」…、なんとなく難しい感じですが、要するにマイナンバー（弊社の場合はデータ）を扱うコンピュータとそれを置いておく場所は決められた担当者（個人番号関係事務実施者＝人事部メンバー）のみが、扱える様にすることです。
ちなみに、弊社は内閣府外局の「個人情報保護委員会」が発行する「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」とその別添である「特定個人情報に関する安全管理措置（事業者編）」（併せて以下、「ガイドライン」といいます。）に従ってシステム（キャビネット、部屋など物理的なものを含む）を構築したり、改修したりし、セキュリティを担保しております。こちらにご興味のある方は以下をご参照下さい。。。行政が作成した資料ですので当方などお気楽人には非常に読みづらいですが…　
http://www.ppc.go.jp/legal/policy/

まずは、手始めにそもそも社員のマイナンバーを何の媒体で保管するかを検討しました。
こちらは満場一致で、現在使用している人事給与のソフトウェアの「STAFFBRAIN」と決めました。理由は現在の社員の人事・給与・就業管理のデータが全て入力されており、新たにシステムを構築する必要がないからです。（ http://www.shinwart.co.jp/hr/sb/ ）
ちなみに「STAFFBRAIN」のサーバーは弊社が所有するデータセンター「S-Port」に設置しております。（ https://s-port.shinwart.com/ ）

そうすると、それを扱うPCをどこに置くか？PCをどう保護するか？が焦点になります。
ガイドラインによるとマイナンバーを取扱う区域と取扱うPCを置く区域を明確にして、間仕切りの設置や座席の配置を工夫することが望ましいとあります。要するに作業している時や、作業中離席した場合の「覗き見」を防止しなさい、ということです。
作業場所とPC設置場所は同じ場所にするとして、狭いオフィスどうやって場所を捻出するか…？

ふとオフィスを眺めていると、キャビネットとキャビネットの間に人が1人作業出来そうなスペースがありました。せいぜい半坪位ですが、長時間でなければ作業は可能なスペースです。…実際計ってみたら1.5㎡で、半坪以下でした…

キャビネットには人事の一部しか扱えない既存の書類（給与情報や身上書、支払調書等々）を限定して入れて、キャビネットもそのまま活かし、かつ、そのキャビネットの扉をあけるスペースを塞ぐ形で一枚フルパーテーションを建て、そこにドアを作れば、マイナンバーの作業をするＰＣの置き場所と人事限定の極秘書類を保管してあるキャビネットが開けられる唯一のスペースができる!!、と一石二鳥のスペースが見つかりました。

※写真はイメージです。

さて、そのスペースを塞ぐフルパーテーションと出入りするドアを設置するのですが、念の為、パーテーションの上からも侵入できない様にしつつ、消防法を遵守するため、取り囲むキャビネットには天井まで届く追加キャビネットをつけて、パーテーションの天井は格子状にしました。格子からは覗き見が出来ない角度でPCを置きます。

次にガイドラインでは入退室管理もせよ、と書かれています。こちらにつきましては、現在執務室に入る入退のICカードがあるので、そのリーダーを取り付け、入退室の権限を弊社の個人番号りよう関係事務実施者（要するに人事担当）に限定することとしました。
そして、昨年12月下旬に弊社の即席マイナンバー運用ルームが出来上がりました＼(^^)／

※写真はイメージです。

ちなみに、本件構築するために工事業者や配線業者と図面の遣り取りを頻繁に行い無駄な打合せを省略しました。その際利用したのが、弊社が提供するオンラインストレージサービス「S-Port Cloud Fシリーズ」でした。今回の図面だけでなく、次回以降レポートする技術的安全管理措置などでも多く図面を遣り取りし、打合せを最小限にして時間の効率化と納期の短縮を実現しました。
本サービスは容量の大きいデータの共有だけでなく、フォルダー単位でそれぞれの業者さんと限定してデータを共有することができ、かつ、ファイルの暗号化はもちろん、各フォルダー毎に情報漏えい対策を実施している高セキュリティなオンラインストレージサービスであるため、マイナンバー関連の図面・資料も安心して遣り取り出来ました。
又、価格も初期費用無しで、月額1万3千円とリーズナブル、かつ最短契約期間1ヶ月間と非常に使い易いサービスです。ご参考にして頂けますと幸甚です。
（ https://s-port.shinwart.com/service/cloud/f_series/ ）

今回のレポートは以上です。次回はアクセス制御などの「技術的安全管理措置」につきましてレポートします。お楽しみに♪

※STAFFBRAINは株式会社電通国際情報サービスの登録商標です。
※本コラムに記載されている社名、製品名などは、各社の登録商標または商標です。

サービス・ソリューション

クラウドサービス

• S-Port Cloud Vシリーズ（IaaS）
• ベアメタルサーバ

ビジネスソリューション

• S-Port Cloud for 奉行
• S-Port Cloud for S-PAYCIAL
• S-Port テレワーク・リモートPCサービス
• Web会議 ZOOM
• ビジネスチャット TAGS
• オンラインストレージ GIGAPOD

ネットワークサービス

• S-Port X（クロス）コネクト
• インターネット接続サービス

セキュリティ

• 監視・マネージドサービス
• S-Port DDoS対策サービス
• S-Port クラウド型WAFサービス
• マネージドファイアウォール
• 脆弱性診断サービス

データセンター

• 東京第一センター
• 東京第二センター
• 北陸センター
• 大阪センター
• 九州センター
• 沖縄センター