自治体に求められるマイナンバー対応のネットワークセキュリティ対策とは

2016年からマイナンバー制度が開始され、自治体や企業ではより情報セキュリティの強化が求められるようになりました。マイナンバーの情報が漏洩することで、個人の特定や不正利用など多大な被害につながります。このようなリスクに備えるためにも、マイナンバーのセキュリティ対策は必須です。ここでは、自治体が取り組んでいるマイナンバー対応のネットワークセキュリティ対策について説明します。

マイナンバーの基礎知識

マイナンバーが導入されたものの、どのようなものなのか、何の目的で導入されたのかイマイチ理解していない人もいるのではないでしょうか？ まずは、マイナンバーの基礎知識として、マイナンバー制度の概要と目的を解説します。

マイナンバー制度の概要

マイナンバー制度とは、日本に住民票を有しているすべての人が12桁の番号を持つ制度のことです。各行政機関に存在している個人情報をマイナンバーに紐づけることにより、同一人物の情報として管理することが容易になります。
マイナンバー制度が導入される以前の個人情報は、健康保険被保険者番号や住民票コード、基礎年金番号など、さまざまな機関が独自の番号を振って取り扱っていました。マイナンバー制度が導入されたことで、個人の特定を迅速かつ確実に行うことが可能になったのです。

マイナンバー制度の目的

マイナンバー制度の目的は「公平・公正な社会の実現」「国民の利便性の向上」「行政の効率化」の3つです。

従来は、行政機関に対して行う申請手続きに多くの書類が必要でした。書類の数が多いほど、行政側での審査にも時間がかかります。しかし、マイナンバーを提示することで必要な書類の用意が減り、手続きが楽になります。このように、マイナンバー制度の導入によって目指しているのは、「便利な暮らし、より良い社会」です。

総務省が自治体に求めるマイナンバー管理体制

前述の通り、マイナンバーの導入によって個人の特定が容易になり、行政機関での手続きなどがスムーズに行われるようになりました。その反面、マイナンバーをサイバー攻撃などで不正に入手し、個人情報を悪用する事態も警戒しなくてはなりません。外部からの脅威やリスクに対してセキュリティ対策は必要不可欠です。総務省から出されている「地方公共団体における情報セキュリティポリシーに関するガイドライン」には、マイナンバーの外部からの不正アクセスや情報漏洩などの防止措置としてシステム全体の強靭化を講じることを謳っています。

マイナンバー対応ネットワークセキュリティ対策

ガイドラインに基づいたマイナンバー対応ネットワークセキュリティ対策には、大きく分けて次の5つがあります。

ネットワーク分離

マイナンバー関連事務とLGWAN接続系、インターネット接続系と３層分離することで、サイバー攻撃などの外部脅威を防ぐことが可能です。

アクセス制御

情報システムを使用して個人番号に関する事務作業または個人番号を利用した事務作業を行う場合は、適切なアクセス制御が必要です。
・マイナンバー業務の担当者だけにアクセスを許可する
・マイナンバー情報を保管する際に暗号化する
・マイナンバー情報を暗号化した状態で、業務システムの検索・利用を可能する
など、アクセス権によってアクセス範囲を限定する対応をとります。

アクセス者の識別と認証

マイナンバー情報を取り扱うシステムは、マイナンバー担当者が正当なアクセス権をもっていることを識別する必要があります。生体情報やワンタイムパスワード、乱数などの偽装が困難な本人認証を利用することでなりすましを防止し、サーバーや端末、システムログイン時の本人認証を強化します。

不正アクセスなどによる被害の防止

システム外部からの不正アクセスを防御、不正ソフトウェアから保護する仕組みの導入・運用が必要不可欠です。機器や電子媒体保存時に情報ファイルを暗号化したり、端末や外部媒体のデータを暗号化したりすることで、盗難や紛失があった場合に情報漏洩するリスクを低減させます。

情報漏洩等の防止

マイナンバー情報の持ち出し防止やパソコン操作やサーバーアクセスの記録・不正アクセスを監視するといった対策も有効な手段になります。

マイナンバー制度は、個人の特定を迅速かつ確実に行うために導入され、行政機関に対して行う申請手続きなどで活用されています。個人の特定が便利になった一方で、マイナンバー管理体制をより堅牢に保つ必要もあります。自治体ではマイナンバーを安全に取り扱うために、3層のネットワーク分離をはじめとするより堅牢なセキュリティ環境の構築、維持・運用に努めています。