« 475.【収益認識'14-09】履行義務は顧客目線で | トップページ | 477.【投資】黒田発言で衝動買い »

2015年6月 9日 (火曜日)

476.【番外編】マイナンバーのセキュリティ〜政府IT部門の統合で、堅い管理を

2015/6/10 *5 を追加した。

 

2015/6/9

昨日までに、関東以西は梅雨入りした。気象庁の長期予報*1によると、概ね、関東以西で6月は暑く、7月は平年並み、8月は涼しい可能性が高いようだ。(東北以北は、6月が暑いか平年並み、7月は東北は関東・中部以西と同じだが、北海道は暑いか涼しいかどちらか、8月は涼しい可能性が高い。) どうやら、今年の梅雨は蒸し暑い可能性が高そうだ。

 

しかし、日本年金機構にとっては、ず〜っと長く、妙にネバネバした汗が出る蒸し暑い期間が続くに違いない。例の年金情報流出問題は、簡単には鎮まらない。いやいや、簡単に鎮められたら、我々国民はたまらない。マイナンバー制度が心配なのだ。それに、年金機構だけの問題とは限らない。

 

 

ということで、マイナンバーについて、内閣官房のホームページ*2を読んでみた。すると、システム的には「分散管理する」「行政間のやりとりには別の符号を使う*3」「システムへのアクセス制限」「通信の暗号化」が記載されていた。

 

この中で気になったのは「分散管理する」だ。確かに、統合された情報が存在しないのは、安心だ。しかし、今回の年金機構の場合は、百万件以上もの大人数の氏名・生年月日・住所といった個人を特定できる情報と基礎年金番号という年金制度に関する情報がセットで流出した。これと同様なことが別の政府組織で起きれば、即ち、個人を特定できる情報(行政内でマイナンバーとは別に使用される“共通符号”*3を含む)と預金等金融資産残高情報、確定申告情報、医療情報などがセットで流出すれば、それぞれの情報を統合することができてしまう。大人数の情報が流出する場合は、同一人物の情報が流出情報に含まれる可能性が高まるので、分散管理の効果が薄くなる。

 

結局、個々の行政組織の情報管理レベルが低ければ、分散管理の効果は薄い。いや、情報管理のレベルだけの問題ではない。サイバー攻撃を防ぐのは難しくなっている。そして、大量のデータにアクセスできる人が、ユーザー部門にいる運用体制というのもまずい。マイナンバーや行政内の共通符号を用いたシステムを運用する体制については、もっと改善が必要なのではないか。これは、年金機構の問題だけでは済まされない。政府組織内の統一的な対応が必要だ。

 

かつて、一般企業でも、システム環境の統一が課題となった時期があった。事業部ごとにシステム部門があって、それぞれのオフコンでシステムを開発・運用し、時には異なったコンピューター・メーカーと付き合っていた。それが情報共有や効率性を阻害していた。しかし、情報システムは全社レベルの戦略を持つ必要があるし、セキュリティ面からも、事業部任せにはできなくなった。そこで現在では、多くの企業でシステム環境及びシステム部門が統合されていると思う。

 

行政組織も、縦割りでなく、横串となる統合されたシステム部門を持つべきではないか。

 

できれば、大量のマイナンバーやその他の個人符号に関連した個人情報を扱うシステムについて、そのシステム開発・運用部隊を、IT精鋭部隊として独立させて欲しい。物理的にインターネットから切り離し*5、厚生省・総務省・国税庁などの関連政府組織・ユーザー部門(もちろん、年金機構も)から独立させた組織・設備で、国の威信をかけて、統一的で堅いセキュリティーで保護・管理して欲しい。そして、ユーザー部門の情報管理を指導・統括して欲しい。分散管理が必要ならば、統合データベースを作成しなければ良い。

 

このようにすると、リアル・タイム性を失うなどユーザー部門(=諸官庁)にとって使い勝手が悪く、運用コストも上がるだろう。それでも、セキュリティを優先させて欲しい。国民に信用されないシステムよりは、結局、マシだ。官僚的な隠蔽体質、対応の鈍さ、甘い状況判断を徹底的に排除して欲しい。一方で、官僚的な厳格さ、真面目さで、国民の信頼を勝ち取って欲しい。そうすれば、もっと多くの機微情報についても、マイナンバー等で管理されることが認められるだろう。

 

 

関東では、ペヤングソースやきそばの販売を半年ぶりに再開したらしい*4。僕の大好物だ。3分よりちょっと早めの固めの麺で食べるのが、僕の好みだ。だが、僕はこれまで、これを製造・販売している“まるか食品”という会社のことは知らなかった。みなさんもご存知の通り、この会社は、Twitter による顧客クレームに対して、製品回収や原因追求・改善で、非常に堅い対応をした。おかげで、僕は、“まるか食品”という名前を覚え、この会社のファンになった。マイナンバーの運用も、是非、この“まるか食品の精神”で堅くやってもらえたら、と思う。

 

🍁ー・ー🍁ー・ー🍁ー・ー🍁ー・ー🍁ー・ー🍁ー・ー🍁ー・ー🍁ー・ー🍁ー・ー🍁

*1 気象庁の「季節予報」 このページにある「予報期間」を選択すると、8月までの予想がわかる。

 

*2 内閣官房のホームページには、セキュリティについて、次のように記載されていた。

 

■個人情報の安心・安全を確保します。

  マイナンバーの導入を検討していた段階で、個人情報が外部に漏れるのではないか、他人のマイナンバーでなりすましが起こるのではないか、といった懸念の声もありました。   そこで、マイナンバーを安心・安全にご利用いただくために、制度面とシステム面の両方から個人情報を保護するための措置を講じています。

  制度面の保護措置としては、法律に規定があるものを除いて、マイナンバーを含む個人情報を収集したり、保管したりすることを禁止しています。また、特定個人情報保護委員会という第三者機関が、マイナンバーが適切に管理されているか監視・監督を行います。さらに法律に違反した場合の罰則も、従来より重くなっています。

  システム面の保護措置としては、個人情報を一元管理するのではなく、従来通り、年金の情報は年金事務所、税の情報は税務署といったように分散して管理します。また、行政機関間で情報のやりとりをするときも、マイナンバーを直接使わないようにしたり*3、システムにアクセスできる人を制限したり、通信する場合は暗号化を行います。

 

  このように個人情報の保護に関して、さまざまな措置を講じています。

 

*3 「行政間のやりとりには直接使わない」とは、「個人番号を直接用いず、符号を用いた情報連携を実施」と説明されている。恐らく、行政間では、別の共通コードを個人ごとに採番・付与するのだろう。これによって、仮に、一部の情報が漏洩しても、マイナンバーをキーとする他の情報との関連づけはできなくなる。(だが、この共通コードでの関連づけは可能だ。)

 

*4 ペヤングやきそば、半年ぶり店頭に 」 日経電子版 6/18 無料記事

 

*5 6/9放送のクローズアップ現代「年金情報流出の衝撃」でも、この問題を扱っていた。それによれば、日本年金機構や地方自治体(この番組の例では藤沢市)では、基幹系と情報系という2系統のシステムを持っており、年金情報や住民基本台帳を扱う基幹系システムは、インターネットと物理的に独立しているという。

 

では、なぜ、年金機構では、年金情報を含むデータが漏れたか。それは次のように説明されていた。

 

藤沢市は、住民基本台帳の情報を、インターネットにつながっている情報系のシステムには持ち込ませず(情報を取り出そうとしても、磁気媒体が使用不可となっている)、基幹系の中だけで処理するようにしているが、年金機構では、基幹系にある年金情報をインターネットにつながっている情報系のシステムへ移動させることができるという。しかも、移動先の情報系システムの共有フォルダのデータへパスワードを設定したり、使用後すみやかに削除する、といった内部ルールが守られていなかったという。このため、インターネットから来たウィルスにより、共有フォルダ内の情報が漏洩した。

 

番組に出ていた専門家は、年金機構のような情報系へ基幹系データを移動する使い方を「やむを得ない」としていたが、その考え方が、僕には甘いと思われた。一般企業と異なり、情報が漏洩しても、顧客が減って自分の腹が痛むようなことがない役所系の組織は、もっと厳しい運用ルールを統一的に適用する必要があると思う。

 

泥棒がいるとわかっているのに危機意識を持てない組織のリスクを、どのようにコントロールするか。この難題を解決するために、性根を据えて考えて欲しい。この専門家は“第三者による監査”も挙げて、「マイナンバーは大丈夫」と言っていたが、みなさんもご存知の通り、監査は試査によって行われるものだし、内部統制が整っていることが前提だ。今回も、危機意識の低さ(=統制環境の不備)が露呈したというのに、甘い、甘い。

 

 

« 475.【収益認識'14-09】履行義務は顧客目線で | トップページ | 477.【投資】黒田発言で衝動買い »

番外編」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/577176/61715680

この記事へのトラックバック一覧です: 476.【番外編】マイナンバーのセキュリティ〜政府IT部門の統合で、堅い管理を:

« 475.【収益認識'14-09】履行義務は顧客目線で | トップページ | 477.【投資】黒田発言で衝動買い »

2017年7月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
無料ブログはココログ