楽天証券は、顧客のマイナンバー情報を格納する顧客情報管理システムのセキュリティ対策のため、データベースセキュリティ製品群を導入した。日本オラクルが10月6日に発表した。
マイナンバー制度の運用が開始されたことに伴い、証券会社でも口座がある顧客のマイナンバー情報を含む特定個人情報のデータを「特定個人情報の適正な取扱いに関するガイドライン」に沿って安全かつ厳格に管理することが求められている。
楽天証券は、証券業務の厳格な運用のための管理体制について慎重に検討を重ねた結果、将来的にはマイナンバーだけでなく顧客のあらゆる重要情報を保管、管理することも見据え、自社で独自の高セキュリティな顧客情報管理システムを構築することを決定した。組織体制や業務、システムを全体として捉えて「人・組織」「物理」「技術」の軸から対策を講じ、セキュリティ上の脅威からデータを保護する多面的な仕組みを構築することとした。
同社は、安全管理措置に沿って収集した顧客のマイナンバー情報を安全に管理できる高セキュリティ環境を迅速に構築できる製品やサービスを検討した結果、オラクルのデータベースセキュリティ製品群の信頼性と実績を評価し、新たに構築した個人情報管理専用システムへの導入を決定した。
業務担当者やシステム管理担当者など各々の権限を適切に分離し、権限分掌をシステム上で実現することで安全管理措置への対応に加え、内部不正への対策をより一層強化する。
マイナンバーや顧客の重要情報を安全に保管、管理するためにマイナンバーの安全管理措置に加えて「金融分野における個人情報保護に関するガイドライン」「サイバーセキュリティ経営ガイドライン」でのデータ保護対策でシステムが対応すべき要件に対応した。
マイナンバー情報に関する全ての取扱情報をインフラ側で記録し、それらをユーザーフレンドリーな画面で一元的に監視、監査することで、ログを定期的に分析し、不正アクセスを検知する仕組みを構築した。
新システムに導入された製品は、データを暗号化する「Oracle Advanced Security」、特定個人情報に対するアクセスを制御するとともに権限分掌を担う「Oracle Database Vault」、アクセスログを取得、監視、保全する「Oracle Audit Vault and Database Firewall」など。
マイナンバーや顧客の重要情報を格納するデータベースに求められる安全管理措置の要件を実現したという。基盤には、データベース専用機「Oracle Database Appliance」が採用されている。