開発者のセキュリティ教育

　マイナンバー制度をセキュリティ面で考えた場合、「JIS Q 15001だけでは不十分」と指摘するのは、NRIセキュアテクノロジーズ 事業開発部の関取嘉浩マネージャーだ。関取マネージャーは、設計段階からセキュリティを考慮した“セキュアプログラミング”の重要性を説く。

　「セキュアプログラミングの概念をもたずにシステム開発を進めると、セキュリティの問題が発生して初めて対応することになる。これは相当な無駄。設計段階からきちんとセキュリティを考慮してつくり込む必要がある」としている。ましてやマイナンバー制度は国家レベルのシステム開発。今まで以上に開発者のセキュリティスキルが求められるというわけだ。

　NRIセキュアテクノロジーズは、情報セキュリティ分野に特化した教育機関であるSANS（Sysadmin、Audit、Network、Security）Instituteのトレーニングや、同機関による「GIAC」認定資格を日本の総代理店として提供してきている。ただし、セキュアプログラミングに関連するGIAC認定資格は非常に高度な知識が要求されることから、その前段階として中級レベルのeラーニング講座「TeamProfessor」を9月24日に提供を開始している。マイナンバー制度にかかわる開発者向けに、多少なりともセキュアプログラミングを学んでほしいという考えだ。

　「セキュアプログラミングは、今、米国では非常に力が入っている分野。セキュリティ関連のパッチがITベンダーから提供されると、そのぜい弱性を突く攻撃が増えたからだ。そこで、問題が発生してから修正するのではなく、最初からセキュリティを考慮した設計にしてセキュリティのパッチを減らすべきというのが、米国では5～6年前から認識されるようになった」と関取マネージャーはいう。エンジニアは何を実現するかという機能面に意識が行きがち。セキュアプログラミングを推進するには、開発側だけでなく、発注側の意識改革も求められる。

パスワード管理とマイ・ポータル

　最後に、2017年1月に開始される予定の「マイ・ポータル」のセキュリティについて考えてみたい。

　ハッキング手法の一つに「リスト型アカウントハッキング」がある。一般的なネットユーザーは一人で複数サイトのアカウントをもっているが、多くのユーザーは同じパスワードを使っている。ユーザーIDをメールアドレスにするサイトも多いので、不正に取得したIDとパスワードを使って、その他のサイトにも不正アクセスするという手法だ。

　対策は同一のIDやパスワードを使い回さないことだが、覚えるのが大変なので、ついつい同じにしてしまう。

　マイナンバー制度で同様の問題を抱えるのが、ログイン時にパスワードが必要なマイ・ポータルだ。マイ・ポータルは個人向けの情報サイトで、マイナンバーが関連するさまざまな情報を確認できるほか、行政機関からのお知らせなどがパーソナライズされたかたちで提供される予定だ。将来は医療機関や民間企業の相乗りすることも検討されている。

　個人向けの情報サイトなのでログインが必要となるが、そこでは個人番号カードに格納された電子情報とパスワードを組み合わせて確認する公的個人認証が採用される予定だ。パスワードは本人が設定するので、リスト型アカウントハッキングに無防備であれば被害に遭う恐れがある。

　マイナンバー制度については、さまざまなリスクが指摘されているが、特定個人の情報を一気に得るには、マイ・ポータルをハッキングするのが最も効率のよい手段である。だからこそ、パスワードへの意識を高めておく必要があるわけだ。

一般社団法人 日本個人情報管理協会（JAPiCO）　内山和久 専務理事
――企業には社員の情報を守るという意識も必要

　情報セキュリティマネジメントシステムに関する国内規格「JIS Q 15001」が2006年5月に発行されて以来、一般財団法人日本情報経済社会推進協会（JIPDEC）が「プライバシーマーク（Pマーク）」としてその認証を担ってきている。すでに1万社を超える企業が、Pマークを取得している。

　そうしたなかで、「JAPiCOマーク」としてJIS Q 15001に基づく認証を約2年前から提供しているのが、一般社団法人日本個人情報管理協会（JAPiCO）である。Pマーク同様、経済産業大臣認定となっており、JIS Q 15001の認証を要求する入札案件などの資格を満たしている。

　実は、JAPiCOマークが本格的に動き出したのは今年の7月。その背景にあるのが、マイナンバー制度だ。「JIS Q 15001の認証を受けているのは1万社ほどだが、日本の企業数は400万社以上。大企業は個人情報保護に対する取り組みをしてきているが、中小規模の企業ではほとんど進んでいない。しかし、マイナンバー制度が始まると、企業は社員のマイナンバーを預かることになり、個人情報保護に向けた取り組みが必須となる。これからJIS Q 15001に取り組む企業をサポートしてきたい」と、JAPiCOの内山和久専務理事は語る。

　企業はこれまで顧客などの外部の個人情報保護に注力しがちだったが、今後は社員の個人情報保護も重要になる。それを意識させるきっかけになるのが、マイナンバー制度というわけだ。

NPO法人 地域情報化推進機構　野村靖仁 副理事長
――リスクを考えすぎないことも重要

　マイナンバー制度の導入で最も危惧されるのが、行政機関や金融機関などの各団体で保有している個人情報が“芋づる式”に盗まれてしまうのではないかということだ。マイナンバー制度ではシステム連携にマイナンバーを使用しないため、全国民の個人情報を“芋づる式”に入手するのは簡単ではないが、システムの利用権限をもつ担当者であれば、業務上の許された範囲で個人情報を入手することはできる。

　「例えば自治体の総合窓口は、ワンストップのサービスを実現する機能をもっている。窓口に情報が一本化されて表示されるので、住民はたらい回しにされずに済むようになる。そこで“一本化されるのは危ない”と情報漏えいの危険を言い出せば、総合窓口のような便利なサービスを提供できなくなってしまう」とNPO法人 地域情報化推進機構の野村靖仁副理事長は危惧する。

　大阪府池田市で総合政策部IT政策課長として情報政策を推進してきた経歴をもつ野村氏は、自治体職員時代にその問題と戦ってきた。現場をよく知るだけに、マイナンバー制度の今後の展開を心配している。「日本人は何かとまじめにやりすぎ。情報化もまじめにやりすぎて失敗する。リスクは利便性とのトレードオフだ。これは危ない、あれは危ないと言い始めると、ITを使った制度はやめておこうということになる」。

　そのため、マイナンバー制度が始まっても、自治体によっては窓口のサービスが従来通りということも考えられる。ワンストップでサービスを提供できるシステムが動いているにもかかわらず、である。 　なお、野村副理事長は、今、関西の関係者とともに医療分野のマイナンバー制度に取り組んでいる。医療分野でマイナンバーが使われるかどうかは不透明だが、それは別として、災害時や緊急時の医療や地域に多い病気の分析などに使えるのでは、と考えている。ただ、こうした先進的な取り組みでは必ずセキュリティが課題となる。マイナンバー制度で提供される「マイ・ポータル」で医療情報が提供されたとしても、認証用のカード（個人番号カード）とパスワードが必要とされていることから、救急時には情報を引き出せないかもしれない。

　「個人も自治体も、何を守るべきかを考えなくてはいけない」と野村副理事長は指摘している。