シマンテックは9月10日、マイナンバー(社会保障・税番号)制度への対応で企業や地方公共団体が取り組むべきセキュリティ対策をまとめた「マイナンバープロテクションガイド」を公開した。同社の特設サイト「シマンテックマイナンバーサイト」から無償でダウンロードできる。
マイナンバープロテクションガイドは、一般企業向けの「事業者編」と、地方公共団体向けの「行政機関・地方公共団体編」の2種類があり、それぞれ、内閣府外局の第三者機関である特定個人情報保護委員会が2014年12月に発表した「特定個人情報の適正な取り扱いに関するガイドライン」の事業者編、行政機関・地方公共団体編に則った安全管理措置の具体策について記載されている。
シマンテック APJソリューションマーケティングの金野隆氏は、企業におけるマイナンバーの安全管理措置について、「取扱規定の策定、万が一情報漏えいが発生した場合の対応体制の整備についてはガイドラインに則り新たに取り組む必要がある。一方、セキュリティの考え方は、これまでの機密データ保護と同様だ」と説明した。
同社では、マイナンバー対応のための取扱規定の策定、インシデントへの対応体制の整備、インシデントからの回復について支援するコンサルティングサービスを提供している。
セキュリティ対策については、機密データ保護対策と同じように、(1)ネットワークや電子メール、エンドポイントでの多層的なマルウェア対策(侵入対策)、(2)エンドポイントでの振る舞い検知(行動監視・検出)、(3)ファイルサーバにあるマイナンバー情報を自動検出して保護する仕組み(情報保護)、(4)ネットワークやPCから外部への不正な通信を監視する仕組み(流出防止)――が必要だ。
(3)のマイナンバー情報を自動検出する仕組みとして、同社はファイルサーバやストレージにあるマイナンバーを検出するスクリプトを開発し、8月にデータ損失防止ソフトウェア「Symantec Data Loss Prevention 14」にテンプレートとして配布した。「11桁のチェックデジットから12桁目を計算するアルゴリズムを活用して、12桁のマイナンバーを判別する」(金野氏)