【事例】マイナンバー対応のシステム構築 ―技術的安全管理措置編その2―
鈴与シンワートの企画部部長のコラムがキーマンズネットの私のコーナーで紹介されました。
【事例】マイナンバー対応のシステム構築 ―技術的安全管理措置編その2―
マイナンバーの導入が進み、他社の事例が気になるころではないでしょうか? 今回は全四回の3回目です。かなりの力作です。興味がある方はどうぞ!
###
本コラムは鈴与シンワートの社内システムを担当している企画部の部長が実際の業務を通して実践したシステム構築や保守・運用、認証取得などを専門である情報セキュリティの観点を交えてレポートします。
2016年の1月から「社会保障・税番号制度」がスタートしました。いわゆるマイナンバー制度です。弊社(鈴与シンワート)の社内システム担当として、番号データの保護に必要なシステムなどの情報セキュリティ強化を、昨年の10月から手を付け始めましたので、その模様を3回に分けてレポートする予定でしたが、3回で収まらなかったため【全4回】でお送りまします。
第3回は前回に引き続き「技術的安全管理措置」(その2)とし、不正アクセス対策、情報漏洩防止について報告します。
ちなみに、第4回は監視カメラ設置と映像保管について報告予定です。前回はマイナンバーを取扱うサーバーとPCの設置、接続について述べました。今回はそれらシステムに対して実際にどのようなセキュリティ対策を行ったかを報告します。弊社は内閣府外局の「個人情報保護委員会」が発行する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」とその別添である「特定個人情報に関する安全管理措置(事業者編)」(併せて以下、「ガイドライン」といいます)に従ってセキュリティを担保しております。ご興味のある方は以下 をご参照下さい。
http://www.ppc.go.jp/legal/policy/
ガイドラインでは外部からの不正アクセス又は不正ソフトウェアから保護する仕組を導入し、適切に運用することが規定されています。前回お話しした通り、弊社は既存でデータ通信や内線網に利用しているWAN(L2L3混合VPNサービス)、いわゆる専用線で、人事が扱うPCとマイナンバーを保管しているサーバーを接続しているため、この間ではファイアウォール(FW)などの対策は不要としております。但し、本ネットワークはそもそも論理上インターネット上に出る口は無い(非DMZ)のですが、社内ネットワーク全体を俯瞰すると物理的な出口を設けているため、2段構えで出口を塞いでおります。
(この続きは以下をご覧ください)※会員登録が必要です。
http://www.keyman.or.jp/at/30008858/