マイナンバーの行政機関等・地方公共団体等編から
10月を過ぎ、番号法の通知カードの発送処理が開始され始めております。
そうした中、
特定個人情報の適正な取扱いに関するガイドライン
(行政機関等・地方公共団体等編)
の改正版が先日(27年10月05日)に特定個人情報保護委員会より公開されております。
参考:http://www.ppc.go.jp/files/pdf/guideline_guideline.pdf
改正ポイントの中の、(別添)特定個人情報に関する安全管理措置
(行政機関等・地方公共団体等編)で、
F 技術的安全管理措置
行政機関等及び地方公共団体等は、特定個人情報等の適正な取扱いのた
めに、次に掲げる技術的安全管理措置を講じなければならない。
c 不正アクセス等による被害の防止等
≪手法の例示≫
* 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み
(ネットワークの遮断等)を導入し、適切に運用する。
と記載されております。
不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み
を実現するのに、勿論ネットワークの遮断という手段もありますが、この「等」の中には、それ以外の対策も含まれると考えます。
そうした中で積極的な安全管理措置となると考えられるのが、
秘密分散技術(電子割符)を適切に用いることで、万が一の不正アクセス等の被害に遭った場合であっても、割符ファイル単体であれば、原本情報を復元することもできず、 これまでの問い合わせ内容のように、割符ファイル単体では法令の定義項から除外されるのですから、被害を最小化する仕組みを実現できます。
更に、
d 情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信 経路における情報漏えい等を防止するための措置を講ずる。 特定個人情報ファイルを機器又は電子媒体等に保存する必要がある場 合、原則として、暗号化又はパスワードにより秘匿する。
≪手法の例示≫ * 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考 えられる。
との記載もありますので、ここの部分は、過去にもご紹介しましたが、
参考:
府省庁対策基準策定のためのガイドライン
平成26年5月19日
http://www.nisc.go.jp/active/general/pdf/guide26.pdf
第3部 情報の取扱い
遵守事項
(6) 情報の運搬・送信
<3.1.1(6)(b)(c)関連>
3.1.1(6)-2 行政事務従事者は、要機密情報である電磁的記録を要管理対策区域外に運搬又は府省庁外通信回線を使用して送信する場合には、情報漏えいを防止するため、以下を例とする対策を講ずること。
a) 運搬又は送信する情報を暗号化する。
b) 運搬又は送信を複数の情報に分割してそれぞれ異なる経路及び手段を用いる。
c) 主体認証機能や暗号化機能を備えるセキュアな外部電磁的記録媒体が存在する場合、これに備わる機能を利用する。
のうち、
b) 運搬又は送信を複数の情報に分割してそれぞれ異なる経路及び手段を用いる。
の解説部分で、
基本対策事項3.1.1(6)-2 b)「複数の情報に分割して」について
この考え方は、秘密分散技術といわれ、例えば、1個の電子情報についてファイルを2個に分割し、それぞれ暗号化を施した上で一方を電子メール、他方をDVD、USBメモリ等の外部電磁的記録媒体で郵送する方法が考えられる。
と記載されているように、例えば暗号化と「秘密分散技術」を併用して安全性を確保することが明記されております。
この場合、秘密分散技術を用いて分割し、異なる移送経路を用いることが肝要で、例としての記載のように、必ずしも物理的メディアに1つの「割符ファイル」を入れなければならないということではありません。
また、これはご存知の方も多いところですが、特定個人情報保護委員会の既公開Q&Aで、
- Q9-2個人番号を暗号化等により秘匿化すれば、個人番号に該当しないと考えてよいですか。
- A9-2個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。(平成27年4月追加)
と情報公開されていることから、単に暗号化だけでは一般論として不十分であることは容易に理解できるところです。
秘密分散技術(電子割符)の採用、導入の際には、長期的な安定動作確認が出来ている技術で、知的財産に関しても取得済みであり、且つ、外部の技術評価を複数回受けている技術標準化のベースとなっている本当に有用な秘密分散技術を選択することが非常に大事です。
それは、ご利用いただく皆様と管理対象となる情報に含まれる関係者の皆様の安全にもつながることです。
秘密分散技術(電子割符)を世界で最初(1999年)に市場にリリースした弊社としては、こうして広く社会に健全な形なで貢献することとなり、将に時代の流れを感じずにはおれません。
厳格な情報管理を求める法令対処への現実解を求める皆様に、些少なりともお役に立てば幸いです。
本リリースに関する問い合わせは、
本件に関し、ご質問等ありましたら、
まで、お問い合わせ下さい。