第二部 企業が取り組むべき安全管理措置の具体的な対策とは?
■企業が行うべき安全管理措置とは、具体的にどのようなことが考えられますか。
安全管理措置については、個人情報保護法とフレームワークは大きく変わっていませんが、まずは基本方針や取扱規定などを明確に定めていく必要があります。そして、組織的及び人的、物理的、技術的な安全管理措置を講じていくことが大切です。
組織的な安全管理措置とは、誰が責任を持って安全管理体制を構築していくのかという組織体制の整備を定めて、それを規程に落していくことです。
また、人的な安全管理措置は、従業員や委託先の人材に対して、マイナンバーに関する情報やそのリスクを啓蒙するといった教育研修がそれに当たります。
持ち出す誘惑にかられてしまうのも、情報を管理するのも、人が行うことなので、研修などを通じて啓蒙し続けることが何よりも大事なことになってくるはずです。
物理的な安全管理措置とは、例えば立ち入り禁止区域を設けるなど物理的に持ち出せないような盗難防止策を講じることです。
そして最後に技術的な安全管理措置ですが、これは人的な安全管理措置と同じように重要なものとしてとらえる必要があります。
具体的には、アクセス制御や不正アクセスの防止策を技術的な観点で講じるものです。
従業員など関係者全員に十分な教育を施したとしても、結果として誘惑に駆られてしまうことはあり得る話です。
そこでマイナンバー情報に対するアクセス権を設定し、許可された者だけがアクセスできる環境を技術的に作り上げることが大切になってきます。
■技術的な安全管理措置に求められる要件とはどんなことでしょうか。
まずは、「アクセス権を誰がどのように管理するか」という前提をしっかりと設定したうえで、アクセス権を持っていない者からのアクセス制御方法を検討することが重要です。
アクセス制御には様々な方法がありますが、IDやパスワードのような“本人確認”できないものでアクセス制御を行うと、悪意を持った人間がアクセス権を持つ人になりすまして情報を盗み出すことができてしまいます。
さらに、悪意を持った人間は、必ずしも外部にいるとは限りません。
これまで様々な情報漏えい事件に遭遇してきましたが、つい出来心で不正行為に手を染めてしまうことも少なくありませんし、いったん興味本位にアクセスして好奇心にかられてしまうと断ち切るのは至難の業。
性悪説ではなく、誘惑に駆られてしまうこともあるという「性弱説」の立場で考えてみると、アクセス権を与えられていない人間がアクセスできない仕組みというものを技術的に整備する必要があるのではないかと思います。
人間の弱いところが出てしまったとしても、そこにアクセスできない仕組みがあれば、多くの情報漏えい事件を防ぐことも可能になるはずです。
また、アクセス権が正当に与えられている者に対しても、より良い待遇を与えて不正を思いとどまらせる等、悪用を出来る限り防止する制度を用意する必要があります。
数ある生体認証技術のなかでも、確実な本人確認の手段として注目される「手のひら静脈認証」を体験し「認証スピードが速いですね」と米山弁護士。
外部犯・内部犯問わず情報漏えいを防ぐためには、例えば手のひら静脈のような生体情報を用いた認証技術を用いて、本人であることが証明できる形で運用できるかどうかが重要です。
また、アクセス制御とは別にアクセスログを取得しておくことで、不正は必ず露見するという「ハイリスク・ノーリターン」の認識が広がれば、大きな抑止力に繋がります。
これも、本人が特定できる生体認証のような技術を利用することで初めて有効に機能することになります。
■企業が取り組むべき対策にアドバイスをお願いします。
前述したとおり、運用開始まで、すでに1年を切っている状況であり、今すぐにでも検討を始めるべき時期だと言えます。
安全管理措置については、まずは以前の個人情報保護法の際に策定した規程類を参考にしながら検討を進めていくことが近道になりますが、中でも教育研修などの人的な安全管理措置と、アクセス制御をはじめとした技術的な安全管理措置がとても重要です。
技術だけ先行しても、実際に運用するのはそこにいる人です。“仏作って魂入れず”ということにならないよう、十分にマイナンバーの意義やそのリスクに関する研修をしっかり行ってほしいと考えています。
技術的な側面では、どんなやり方でも100%安全というものはありません。
それでも、導入を検討する際に、最も信頼できる最高水準の技術を導入していれば、例えば有事の際にも裁判所の判断として過失が否定される可能性も考えられます。
マイナンバーへの対応を契機として、手のひら静脈認証のような最新の技術検討も含めた企業の安全管理のあり方を見直すいいタイミングだと捉えて、ぜひ運用開始に備えていただければと思います。
