筆者は任意団体であるデータベースセキュリティ・コンソーシアム(DBSC)にて活動している。現在、DB内部不正対策ワーキンググループにて、データベースにフォーカスした内部不正対策ガイドラインについて、現在パブリックコメントを募集している(8月10日~8月31日まで)。DB内部不正対策ワーキンググループでは、上記の3つのバランスに着目し、ガイドラインを作成している。
詳細な対処項目については、ぜひ、DB内部不正対策ガイドライン0.9版をご参照いただきたい。今後マイナンバーの管理を外部へ委託することを検討している企業も含め、管理する側の内部統制、契約書上の規約だけではない本当の情報管理体制を、上記項目と合わせて確認していただきたい。
あくまでデータベースに特化したガイドラインにはなっているものの、マイナンバーがファイルサーバにて管理されようが、端末上で管理されようが、概ね同様に検討いただける項目になっているはずである。
当ガイドラインでは、管理者の「出来心」を最小化するための「アメ」と、あらゆるシステム上の穴を塞ぐ技術的対策、および管理者の不正に対する「ムチ」となる監視による証拠確保を含んでいる。
