編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ
マイナンバーから考える内部不正防止のコツ

「特定個人情報」としてのマイナンバー - (page 4)

髙岡隆佳

2015-06-17 07:00

 各対策が行き届いていない部分は当然ながらリスクであり、管理者の良心で守られていると言い換えられる。それが一度管理者の「出来心」、もしくは今回の年金機構のケースのように「悪意のない」業務ウェブおよびメールアクセスにて侵入されてしまえば、本人の意図するところでなくても情報は漏えいしてしまう。

 平たく言えば、業務効率を重視しすぎて「内部」の情報管理体制がそもそも統制とれていない状況で、「外部」から最新の標的型攻撃が来ることを想定した対策がとれていないため、内側も外側も脆弱な企業だらけということである。

 このような現状に対し、一気に高度な情報管理を求められても、企業側の認識も対応も追いつかないことが問題である。

 とはいいつつも、「特定個人情報の取扱に関するガイドライン」の中でよく引き合いに出される「安全管理措置」については、以下ハイライトにもあるように番号法と個人情報保護法、そしてその関連ガイドラインを順守しなければならない。かつガイドラインに記載の例示はあくまで一例であり、各事業者側にて「適切な手法」を採用することとしている。


出典:特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より抜粋

 実際にガイドライン中の例示をご覧いただければ分かると思うが、年金機構で見られたような問題や、最新の脅威に対する対策というものについては欠けているため、冒頭述べたようにこの部分については今後見直しがかかると予測される。

 といっても、現在設けられている罰則を緩和する方向には、まず向かうわけもなく、事業者は今回の年金機構の事件を真摯に受け止め、自社内の情報管理をまず見直すための機会を得たと考えるべきだ。

 第2回では、番号法ガイドラインの要点と企業が直面する今回のような最新の脅威への対応についてポイントを絞って解説する。

髙岡隆佳
ブルーコートシステムズ合同会社 データ・セキュリティ・スペシャリスト セキュリティ業界で約15年の経験を活かし、Web環境からデータベースをとりまく包括的な標的型攻撃対策製品を担当。企業が直面するセキュリ ティリスク、対策、課題に精通している。データベース・セキュリティ・コンソーシアム(DBSC)の運営委員として、データベース・セキュリティ の技術向上、その普及を推進。現在「DB内部不正対策ワーキンググループ」のリーダーを務める。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]