【事例】マイナンバー対応のシステム構築 ―技術的安全管理措置編その１―

本コラムは弊社鈴与シンワートの社内システムを担当している企画部の部長が
実際の業務及び業務を通して実践した、システム構築や保守・運用、認証取得などを
専門である情報セキュリティの観点を交えてレポートします。

今年の1月から「社会保障・税番号制度」がスタートしました。いわゆるマイナンバー制度です。弊社でも雇用保険や支払調書、源泉徴収などで人事部がお役所に届け出る際に、社員のマイナンバーを収集・保管・利用する（個人番号関係事務実施）必要があり、2月から社員の通知カードのコピーを提出させています。社内システム担当としては、番号データの保護に必要なシステムなどの情報セキュリティ強化を、昨年の10月から手を付け始めましたので、その模様を3回に分けてレポートします。

２回目の今回は「組織的安全管理措置」に軽く触れつつ、「技術的安全管理措置」（その１）について報告します。

前回は弊社が実際に行った「物理的安全管理措置」を遵守するための所謂マイナンバールームの構築について報告しました。今回はそのマイナンバールームを実際に活用するための仕組と仕掛け作りについて報告します。

弊社は内閣府外局の「個人情報保護委員会」が発行する「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」とその別添である「特定個人情報に関する安全管理措置（事業者編）」（併せて以下、「ガイドライン」といいます。）に従ってセキュリティを担保しております。ご興味のある方は以下をご参照下さい。
http://www.ppc.go.jp/legal/policy/

「組織的安全管理措置」（人的安全管理措置も含む）とは、組織の中でマイナンバーを扱う担当者を特定・管理し、安全にマイナンバーを扱うため組織体制を整備することにより、記録の管理や情報漏えいの際の対応を明確化することです。ちなみに弊社では以下の様な体制図（見本）を作成しました。ここで特定されている担当者以外が自分以外の組織内のマイナンバーに触れることはありません。

では、本題の「技術的安全管理措置」の対応報告に入りたいと思います。
こちらはシステムを使用してマイナンバーを取扱う際のアクセス、認証、情報漏えい防止などに関してのガイドラインとなります。

まずは、アクセス制御。
前回構築したマイナンバールームにPCを1台だけ設置し、そのPCに固定IPアドレスを付与しました。一方、実際にマイナンバーを保管しているサーバーに対しても同一セグメント^※のIPアドレスを付与しました。これらのIPアドレスは本目的のみに作成したセグメントであり、上記のPCとサーバーのみに本セグメント内のIPアドレスを付与します。
実際は西日本拠点にもPC1台を設置したため、結果3つのIPアドレスを本セグメントから付与したこととなります。

本サーバーは弊社所有の高セキュリティデータセンター「S-Port」
(https://s-port.shinwart.com/)に設置し、マイナンバーの保管には本サーバーへインストールした人事給与ソフトウェア「STAFFBRAIN」
(http://www.shinwart.co.jp/hr/sb/)を活用しています。

従来より、データ通信、内線通話などの用途で本社及び西日本拠点と「S-Port」はWAN(L2L3混合VPNサービス)で接続しているため、その回線を利用して2台のPCとサーバーを接続しました。以下の図をご参照下さい。

(注釈)
※弊社で1セグメントは/24のIPアドレスブロックのことをいいます。
例）000.000.000.XXX⇒固定された第3オクテッド（0の部分まで)を1セグメントし、第4オクテッド目
（XXXの部分）の0～255が本セグメント内の固有IPアドレスとなります。

次に認証ですが、こちらは個人番号関係事務取扱担当者のID/パスワードでマイナンバールームのPCにログインした時のみ、マイナンバー保管サーバーに接続できる様に認証サーバーで権限設定をし、更にマイナンバーが保管されている人事給与のソフトウェア「STAFFBRAIN」にアクセスするための担当者毎のID/パスワードで認証を設けております。こちらは万一事故等が起きた場合の操作ログを特定できる様にしています。

以上の様に高セキュリティのアクセス制御を行い厳重にマイナンバーの管理をする体制を作りました。

高セキュリティのデータセンターにサーバーを設置することにより、サーバー側の物理的セキュリティについては何も考えず管理体制を構築できたことが一番のポイントです。

東京23区内の低価格な都市型高セキュリティのデータセンターをお探しの企業様は
是非とも弊社S-Portをご検討下さい。https://s-port.shinwart.com/

今回のレポートは以上です。次回は「技術的安全管理措置編その２」とし、不正アクセスや情報漏えいの防止をどう行ったか、簡単便利な監視カメラ映像の保管などについて報告します。お楽しみに♪

※STAFFBRAINは株式会社電通国際情報サービスの登録商標です。
※本コラムに記載されている社名、製品名などは、各社の登録商標または商標です。

サービス・ソリューション

クラウドサービス

• S-Port Cloud Vシリーズ（IaaS）
• ベアメタルサーバ

ビジネスソリューション

• S-Port Cloud for 奉行
• S-Port Cloud for S-PAYCIAL
• S-Port テレワーク・リモートPCサービス
• Web会議 ZOOM
• ビジネスチャット TAGS
• オンラインストレージ GIGAPOD

ネットワークサービス

• S-Port X（クロス）コネクト
• インターネット接続サービス

セキュリティ

• 監視・マネージドサービス
• S-Port DDoS対策サービス
• S-Port クラウド型WAFサービス
• マネージドファイアウォール
• 脆弱性診断サービス

データセンター

• 東京第一センター
• 東京第二センター
• 北陸センター
• 大阪センター
• 九州センター
• 沖縄センター