国税庁のデータ入力業務の再委託事件から、機密情報を扱うときのセキュリティの強化事例をみる！

　今年(2018年)12月14日、国税庁は、システム開発会社「システムズ・デザイン株式会社」（東京都杉並区）が東京、大阪両国税局発注分の源泉徴収票なのデータ入力業務を国内の３業者に再委託した発表しました。
再委託したデータ約６９万件分で、うち少なくとも約５５万人分のマイナンバー（社会保障と税の共通番号）が記載されていた可能性があるとのこと。現段階では、再委託先からの漏えいは確認されていないとのこと。

※ マイナンバー法では無許可の再委託は禁止されています。

これを「個人情報の意図的な流出というのでは？！」と個人的には思いますが...

　しかしここで、さらに問題となる情報が！

システムズ・デザインの同日発表された謝罪文によると、

「当該データを海外センター１か所に送信し、同センターにおいて入力業務を行っていました」
さすがにこれは問題でしょう！
ネット経由うで海外センターって段階で、行政データを取り扱うべきかどうかの判断の欠如捨てるといるでしょう！
※ 報道がここについて問題提起していないことに疑問を感じます。

　再委託先がマイナンバーに関する情報を扱っていたことが分かっていて、海外センターに送信するなんて！
再委託先の企業名等公開するべき事件です。

発注元の国税庁の責任も多大です。

　それはさておき、こういった機密情報を扱う場合、どのようなセキュリティ強化を行うかを紹介したいと思います。

　生命保険などのデータを扱う場合、データ入力業務やデータ解析、システム開発時の簡易テスト時や総合テスト時などでも、以下のような同様の手段が取られることがあります。

　いくつかパターンがありますが、実際に経験したその一部を紹介します。
※ わりと旬のネタということもあるので速度優先で、図解ナシ＆2パターだけ (^.^;)

◆ パターン１
　発注先または発注先が用意したスペースで作業します。
警備など点でもそうですが、一番セキュリティを確保できます。

経験した中で一番厳しかった施設では、
・入退室は密閉されたボックスを通じて行いますが、内部では重量検知器を使いグラム単位での不正持ち込みや不正持ち出しのチェックを行い、怪しい数値ができると退出ドアが開きません。
・磁気探知機を使って、ノートPCやスマフォの持ち込みがチェックされます。
・携帯電話の電波は遮断されています。
・PCなどの端末には、USBなどの差込口はありません。
・PCケース自体が少し大き目のロックがかかる金属ケースに収納されていて、ケースと床面がロックされていて、移動もできません。
・電話は外部への直通回線はなく、録音されます。
・持ち込みカバンの中身やノート・メモ帳などの内容もチェックされます。
・トイレや飲食の都度、セキュリティボックスを通過する必要があります。
・外部電力遮断時に備え、通常の発電機のほか、ジェット発電機を複数台装備してます。

　本当にここまで？！と疑いたくなるほどの徹底ぶりですが、ここまでやる日本の企業が存在します。
ここまでやると物理的なセキュリティはほぼ満点に近いです。

　単に作業スペースの確保と警備員だけを配備するケースもありました。

　本来、国税庁など行政機関は、この程度の対応が必要なのですが残念です。少なくとも各省庁間で共用できる設備ぐらいは、あっても良いと思います。

◆ パターン２
　個人に紐付けることができる情報は分散させるか別の紐付けデータに置き換えて委託先にデータを渡します。

　これは発注元に技術者がいない場合、さらに信用できる業者に外部委託する必要があります。

例えば、
マイナンバーと紐付けられた別の番号を用意します。
入力済データの納品受け取り後に、紐付けらた番号からマイナンバーを再結合するなどします。
これによって、委託された業者側が重要なデータを観ることができなくなります。
また、データの受け渡しの際、ネットワークを使わず、CDやDVDを使います。
テスト終了時や納品後、ディスクを割ったり、使用したPCのデータファイル等を発注元が確認します。
当然、なかり厳しい罰則のある契約を締結します。

　ただしこの場合、マイナンバーと紐付けるため番号を生成するシステムなどを制作することになり費用が膨らみます。
定期的に発注が行われる場合、このようなシステムを内部で制作できるように、技術者を確保しておくと費用が安くなることがあります。

　この方法は、再委託する際によくおこわなれる方法の１つです。