SAAJ近畿支部第177回定例研究会報告 (報告者:小河 裕一)

会員番号 1710 小河 裕一(近畿支部)

1.テーマ 「マイナンバー制度により進行する社会の変容の実際とシステム監査」
2.講師    特定非営利活動法人 日本システム監査人協会 顧問、近畿支部 参与
システム監査技術者、公認システム監査人
 吉田 博一氏
3.開催日時  2019年1月18日(金) 19:00~20:30
4.開催場所  大阪大学中之島センター 2階 講義室201
5.講演概要

マイナンバー制度が2016年に導入され、はや3年が経過した。導入後、マイナンバー情報が連携される事により利便性や効率性が高まり、またマイナンバーカードを利用することにより様々なサービスも増えてきていると同時に機密性の高いマイナンバーを扱う行政側もシステムが変わりセキュリティ対策も変わって来ている。
本講演では、マイナンバー導入によって変わった社会の仕組みや行政側のシステムの仕組み、それに対してシステム監査を行う場合のポイント、ならびに今後のシステム監査として監査人協会近畿支部20~30周年までの10年の歩みを解説していただいた。

(1)マイナンバー制度とは

マイナンバーは元々「消費税増税時の低所得者対策(給付付き税額控除)」として導入が検討されたものであった。それは断念となったが、役所間の行政運営の効率化、構成な給付と負担の確保、国民の利便性向上(各種申請時の添付書類省略等)を狙い導入となった。

(2)行政間におけるマイナンバー情報連携の仕組み

情報連携にはマイナンバーをキーとして用いることなく、中間サーバ、プラットフォームというDBシステムを整備し、地方自治体が保有する情報を正本として、連携が必要な情報のみを副本として中間サーバに保存し、分散管理をしている仕組みである。このような情報連携が可能となったことで、私たち国民の負担が軽減(申請に必要な添付ファイルをいくつも集める必要がなくなる。)しているということである。

(3)「セキュリティ対策・特定個人情報保護評価」に関して

特定個人情報を取り扱う自治体や行政機関等は3段階にわかれて評価を実施し報告する必要がある。3段階とは①全項目評価、②重点項目評価、③基礎項目評価である。これはマイナンバーを収集する対象人数や取り扱う人数等で別れる。これら評価結果は全て公開されており、特定個人情報保護評価WEBで閲覧することが可能である。(https://www.ppc.go.jp/mynumber/)

(4)クラウド導入済団体の特定個人情報保護評価

複数の自治体で同時利用しているクラウド(自治体クラウド)利用団体は全体の23%、単独でクラウドを利用している自治体は全体の38%と約6割程度がクラウド利用している。全ての団体が特定個人情報をクラウドで管理しているとは限らないが、クラウド利用に対するリスク対策を書いているのがわずか3団体だけである。記載してあっても「クラウドまかせ」のリスク対策となっており、この点に関してはまだ不十分と思われる。

(5)マイナンバーカード

マイナンバーカードの発行開始から3年が経過したが、まだ普及率は12%程度であり「普及した」と言えるには、ほど遠い現状ではある。しかしマイナンバーカードのICチップには、公的個人認証サービス電子証明書(署名用と利用者証明用)が格納されている。またICチップの空き領域は民間での利用も可となっており、実際に証券口座開設などに使われ始めたり、マイキーIDを格納することで図書館カードの代替をしたり等マイナンバーカードの活用範囲が広がってきている状況である。同様にマイナンバーカードに貯めることができる「自治体ポイント」の活用も検討が始まっている。

(6)自治体のシステム・ネットワーク強靭化

自治体では特定個人情報をはじめとした重要な情報を多く扱う。一方平成27年5月に発生した日本年金機構の125万件におよぶ情報の漏えい事件をきっかけとしてセキュリティの強靭化が図られ、マイナンバー利用事務系、LGWAN(総合行政ネットワーク)系、インターネット接続系と分割されることになった。
これで情報漏えいのリスクは低減されたが、メールがリアルタイムで見ることができなかったり、OSおよびウィルス対策のパターンファイルが最新化しにくいといった弊害もでてきている。総務省が解決するための仕組みを作ってはいるが、まだまだ課題は残っている。

(7)マイナンバー導入による変化に対する課題とそれを補うシステム監査について

マイナンバーに関し、システムからの情報漏えい、誤情報連携、不正利用、マイナンバーカードの紛失による漏洩、システムアップデートの遅延によるマルウェア罹患等、リスク・課題がまだまだ残っている状態である。これらのリスクをどのように低減、回避するかを提言していくためにも監査が有用と考えられる。

6.所感

講師は、行政の一員としてシステム構築に携わってこられている。行政の立場から見たマイナンバー制度、マイナンバーカード制度及び行政のネットワーク強靭化の流れと、そこに対する監査の必要性を解説頂いた。早いスピードで移り変わっていく状況下ではセキュリティをはじめとする様々なリスクが潜在するのは当然であり、少しでも低減するためには「監査」が重要な役割を持つということを改めて認識した。

以上