【連載】情報インフラの整備
株式会社TKC 行政システム研究センター 番号制度対応推進室長 松下邦彦
番号制度を市町村に導入するには、住基・税等の事務を取り扱う基幹システムを改修するだけでなく、それを支えるネットワークや端末といった情報インフラも整備する必要がある。
情報インフラ整備の目的は大きく二つ。まず、基幹システムを中間サーバープラットフォーム(以下、中間サーバーPF)に接続させること。次に、特定個人情報保護委員会が平成26年12月に発出した『特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)』(以下、ガイドライン)に適合させることである。
中間サーバーPFとの接続
国によって、東西二つのセンターに共同化・集約化された中間サーバーが「中間サーバーPF」だ。
基幹システムを中間サーバーPFに接続するため、VPN(仮想プライベート網)装置が市町村に配布される。これを市町村のネットワークに組み込むには、ネットワークの構成変更やファイアウォール装置などの設定変更が必要となる。
ネットワークの整備に加えて、端末装置の増設を検討することも必要だ。「他機関に情報照会する」あるいは「未電算化業務で提供用の情報を中間サーバーに登録する」ため、個人番号利用事務を担当する部署に中間サーバー接続端末を設置する。
また、個人番号の確認や取得のために、業務の実情に応じて住基ネット端末(統合端末)を増設する必要もある。
ガイドラインへの適合
特定個人情報を適正に管理するため、特定個人情報保護委員会が発出したガイドラインでは、番号法令や関連規則に定められた特定個人情報の取り扱い方法を解説するとともに、6種類の安全管理措置を示している。
この中で情報インフラに係わるのが「F.技術的安全管理措置」であり、アクセス制御やアクセス者の識別と認証、不正アクセス等の防止、情報漏えいの防止といった措置が定められている。情報インフラでこれらの措置を実施するには、ネットワーク機器類のログ取得強化や端末パソコンへの資産管理ソフトの導入といった対策が必要となる。また、将来を見据えてUTM(統合型脅威管理)製品を導入することも検討に値する。
もちろん、インフラだけでなく基幹システムにも「技術的安全管理措置」は欠かせない。個人番号のアクセス管理を強化するとともに、個人番号を暗号化して保管する等の対策を講じる。
◇ ◇ ◇
特定個人情報は「個人番号を含む個人情報」であり、ガイドラインが定める安全管理措置は特定個人情報だけでなく、本来は個人情報全般に適用すべきものである。したがって、番号制度の導入は個人情報の管理全般を見直す絶好の機会と捉えられる。情報セキュリティーポリシーを改訂して、6種類の安全管理措置を適切に導入し、かつ運用していくことが、個人情報全般の保護強化につながっていくのである。
掲載:『新風』2015年7月号