第26回 まっちゃ139勉強会
久々にセキュリティ…に限った話じゃなくて、ブログの投稿そのものが久々まような気が…(汗
-----
(Session1-1 「共通番号制度(旧:マイナンバー制)施行に合わせて、IT会社は何をすべきか」(岡村先生) 前半戦)
[番号法とは?]
・正式には「行政手続における特定の個人を識別するための番号の利用等に関する法律」
・以前は「マイナンバー法」と呼ばれていたモノ→現在は「社会保障・税番号法」
・今年の5/24に成立、5/31公布→3年以内に全面施行予定だけど、五月雨式に部分施行される
どういうモノ?
・社会番号・税番号制度を行うための法律
・国民1人^2にユニークな番号を割り当てる(住民票を有する外国人含む)
・法人(少なくとも登記されていれば)にもユニークな番号が割り当てられる
[番号制度]
・個人に悉皆性、唯一無二性→分かりやすく言うと全員にユニークな番号が付く
・「見える」番号が付く→最新の氏名、住所、性別、生年月日に紐付く番号が付く
→これが住民基本台帳番号とも紐付く
・この番号が「複数の機関」間において管理・相互利用される
・運用するためには、自分が「自分である事」を示す仕組み(本人認証)が必要で、実装される
→顔写真付きのICカードになるとの事(免許証以上の有効期限になるのでは?、との事)
[個人情報の管理]
一元管理ではなく「分散管理」方式で管理される
→何かしらの「共通DB」ができる訳ではない
では、誰が管理しているのか?
→自治体なり何なりの「各行政機関等」が、である
今までもそれぞれがそれぞれで個人情報を保有・管理していた
が、連携している訳ではなかったので、相互連携が難しかった
→その最たる悪い例が「消えた年金」
共通番号ができる事で、相互連携しやすくなるようにするのが目的の1つである
…勿論それは良い事ばかりではない…
「情報漏えい時の被害規模拡大」「成りすまし」など…
→だから「一元管理」にしない、という理由の1つ
そもそも現実的にも一元管理する仕組みを作るのは難しいでしょ?
[概要]
概要はこちらを参照(アンダーラインの箇所が重要なので押さえておくとベター)
http://www.cas.go.jp/jp/houan/130301bangou/gaiyou.pdf
重要なキーワードのうち、「特定個人情報保護評価」については後述
あくまで概要は「案」レベルのモノも含まれているので、将来的にどう実装するのかは分からない部分の含まれているのでご注意を…
利用は次の3点に限定
(1)社会福祉
・年金
・労働
・福祉・医療・その他
(2)税
(3)災害対策
[メリット]
・届出の負担軽減
・公平な給付(不正受給の抑止)
・社会保障に関する自己情報が容易に入手できる
・確定申告の利便性向上
・公平な税負担の実現
[目的と基本理念]
1条(目的)と3条1項(基本理念)がリンクされているので、よく読むと良いかと
[個人情報保護法との関連]
メリットは「光」とすると、当然「陰」の面もある
例えば「ビッグブラザー的」な懸念とか→当然そんなのは予め予測して対応を考えている
・制度上で守る(こちらは個人情報保護法の得則を定める事で対応している)
・技術で守る
…この2点で陰の面に対抗しようとしている
…が、これがまた難しい専門用語が大量に出てくるので、この条文で出てくる○○は何、どうすれば良いの?、というのが想定される
例えば「特定個人情報」とは?
→正解は「個人番号+個人情報」の事
[個人情報と特定個人情報]
一言で言うと…
・個人情報→従来の「個人情報保護」に関する法規に定められている個人情報
・特定個人情報→個人情報に個人番号を付加したモノ
同様に…
・個人情報ファイル→個人情報が記録されているファイル
・特定個人情報ファイル→特定個人情報が記録されているファイル
…という感じ
・個人情報「利用」事務→例えば税務署とか(行政サイト)
・個人番号「関係」事務→例えば企業(の経理)とか(主に民間サイド)
事務「者」→上記事務を行う事
…正直紛らわしいキーワードが多いので、要注意!!
[個人番号の生成、指定、通知、変更]
どういうプロセスで付けられる?
(1)自治体が機構(LASDECの事)に住民票コードを指定し、番号生成を依頼
(2)機構が番号を生成し、自治体へ提示
(3)自治体が個人へ「通知カード」で通知
変更も場合も同様で…
(1)本人が自治体へ請求(無い場合もある)
(2)自治体が機構に住民票コードを指定し、番号再生成を依頼
(3)機構が番号を再生成し、自治体へ提示
(4)自治体が個人へ通知する
(例えば情報漏えいが起きた場合等は(2)からスタートする場合もある)
[利用範囲]
9条で定められている
ポジティブリスト形式
(QA)
・個人事業主の場合、法人番号は付くの?→付かない(個人番号で代用)
・出向の場合どうなるの?→給与がどう支払われるのかによって変わる(2つ以上が給与元の場合、それぞれ付けられるというイメージ)
-----
(Session1-2 「共通番号制度(旧:マイナンバー制)施行に合わせて、IT会社は何をすべきか」(岡村先生) 後半戦)
[安全管理措置義務(要はセキュリティ対策の事)]
・再委託の制限、再委託先の監督
→これは10、11、12条で定義されている
委託は「情報漏えい」が発生しやすいポイントと認識
この辺は個人情報保護法と同様(個人番号に対して新たに明示されたという認識でOK)
ならどうすれば良いのか?
・まずは信頼できる委託先を選定する処からスタート
・次いでシッカリとした「委託に関する契約」を締結
・契約の内容が守られているか、監査・調査が行えるようにし、実施する
→レベルは扱う内容次第
・当然回らなければ、その部分は見直しする
・再委託する場合は、委託元がOKしないとダメなようにする
[本人確認の措置]
16条で明示
個人番号カードはあくまで希望者のみ配布される
全員に通知されるのは「紙の通知書(通知カード)」→なりすまれるのでは?
→この場合は顔写真入りの公的証明書を併せて提示する方向に
マイポータルの場合は紙じゃNGなんでカードじゃないと無理
→この場合スマホはどうする?(この辺は方法がまだ定められていない)
[個人番号カード]
住民基本台帳カード(ICカード)が基→これに個人番号が追加される
住所が含まれている→転勤した場合は14日以内に申請、再交付
氏名の変更(結婚して苗字が変わったなど)も同様
このICカードの空き容量の利用目的については、条例で定めた用途で利用しても良いとの事
住民基本台帳カードは、有効期限が切れ次第フェードアウトとなる
[ICカードへの記録事項]
当然盗難時等の事を想定し、プライバシー性の高い情報は記録されない
(あくまで氏名、性別、住所、生年月日の基本情報と、電子証明書と写真の画像データ→画像データはカードの写真にたいする偽造対策)
[マイポータル]
2017/1以降に提供開始予定
ここには「情報提供記録表示機能」「自己表示機能」「行政系等の手続のワンストップサービス」「プッシュ型サービス(お知らせなど)」が提供される予定
ただし機微な情報を扱う事になるため、15、19、20条で「特定個人情報の提供の制限等」を定めている
→ポイントは第三者に提供する事だけでなく、求める事、集める事、記録する事もNGという事!!(例外事項(例えば家族内でのやり取り等)は別途定めている)
(単純所持もアウトって事???→流石に広すぎ影響大きすぎなので議論中との事…その辺が実は後回しになってるので、今後継続的にウォッチする必要があります)
[情報連携の基本的な流れ]
情報のやりとりは「情報提供ネットワークシステム(総務省配下)(以下NS)」経由で行われる
Aが、Bが持っている情報が欲しい場合
(1)Aが持っている符号AをNSへ渡す
(2)NSは符号Aから符号Bへ変換
(3)符号BをBへ渡す
(4)Bは符号Bを基に個人情報を取得
(5)提供OKならBはAに情報を提供する
NSはこれらのやり取りを記録している(利用状況に応じて課金をする)
意図的に「使い勝手を悪くしている」→串刺し検索しにくくしている
…が、使い勝手優先派、プライバシー優先派両方から叩かれているのが現状(「基本的に正しく、基本的に間違っている」…の意味)
[特定個人情報保護評価の実施の仕組み]
基本的には多段階評価を行っている
[違反したら?]
・報告・立ち入り検査
・指導・助言
・勧告
・命令(通常・緊急)
それでも従わない場合は「2年以下の懲役または50万円以下の罰金」
むしろ報告時に虚偽報告の方が痛い(1年以下の懲役または50万円以下の罰金)
更には色々な罰則が定められている(最も重いのが「番号を利用する職員や事業者などが、正当な理由なく特定個人情報ファイル等を提供した」場合の4年以下の懲役または200万以下の罰金)
[導入に向けたロードマップ]
今は法案が成立したばかりの段階
これから「政省令等の整備」「条例の改正」や「システムの要件定義、構築」などが待っている
番号通知は2015年の秋に待っている
(QA)
・企業が個人番号を扱わない(収集しない)という選択肢は取れる?→取れないと考えてOK(関連する法規が改正され、例えば納税申請の際に記載必須となると、書かない場合は正しく申請していない→法に触れるという具合になるので)
・個人番号カードは「身分証明書」としては使えない?→前述の通り番号を目的外に収集するのはアウトのため、使えないと考えてOK(無論例外事項として定められている範囲(6条)については問題無し)
-----
(Session2 ライトニングトーク)
[Pasta-kさん:キャンプのお話]
・セキュリティキャンプの紹介
・プログラミングキャンプ→昨年から有志で「私立プログラミングキャンプ」やってます
今年はツアー形式で行うとの事です(こちらは社会人OKです)
[黒林檎さん:公衆無線LANのセキュリティに関するお話]
・セキュリティが甘い箇所(例えば未だにWEPとか)に繋ぐと、色々な情報が取れるので、要注意というお話
[村山直紀さん:NWスペシャリスト試験対策のお話]
・午前で初出のキーワードは、早めに午前試験を片付けて、お昼にぐぐると幸せになれるかも…
[愛知県警:人材募集のお話]
・現在セキュリティに関わる職員を募集中との事(詳しくは公式サイトをご覧下さい)
[えのきさん:LibreOfficeなお話]
・LibreOffice使おうというお話
・LibreOffice4.0の特徴のご紹介
・来週の土曜に、新大阪で勉強会やります
久々にセキュリティ…に限った話じゃなくて、ブログの投稿そのものが久々まような気が…(汗
-----
(Session1-1 「共通番号制度(旧:マイナンバー制)施行に合わせて、IT会社は何をすべきか」(岡村先生) 前半戦)
[番号法とは?]
・正式には「行政手続における特定の個人を識別するための番号の利用等に関する法律」
・以前は「マイナンバー法」と呼ばれていたモノ→現在は「社会保障・税番号法」
・今年の5/24に成立、5/31公布→3年以内に全面施行予定だけど、五月雨式に部分施行される
どういうモノ?
・社会番号・税番号制度を行うための法律
・国民1人^2にユニークな番号を割り当てる(住民票を有する外国人含む)
・法人(少なくとも登記されていれば)にもユニークな番号が割り当てられる
[番号制度]
・個人に悉皆性、唯一無二性→分かりやすく言うと全員にユニークな番号が付く
・「見える」番号が付く→最新の氏名、住所、性別、生年月日に紐付く番号が付く
→これが住民基本台帳番号とも紐付く
・この番号が「複数の機関」間において管理・相互利用される
・運用するためには、自分が「自分である事」を示す仕組み(本人認証)が必要で、実装される
→顔写真付きのICカードになるとの事(免許証以上の有効期限になるのでは?、との事)
[個人情報の管理]
一元管理ではなく「分散管理」方式で管理される
→何かしらの「共通DB」ができる訳ではない
では、誰が管理しているのか?
→自治体なり何なりの「各行政機関等」が、である
今までもそれぞれがそれぞれで個人情報を保有・管理していた
が、連携している訳ではなかったので、相互連携が難しかった
→その最たる悪い例が「消えた年金」
共通番号ができる事で、相互連携しやすくなるようにするのが目的の1つである
…勿論それは良い事ばかりではない…
「情報漏えい時の被害規模拡大」「成りすまし」など…
→だから「一元管理」にしない、という理由の1つ
そもそも現実的にも一元管理する仕組みを作るのは難しいでしょ?
[概要]
概要はこちらを参照(アンダーラインの箇所が重要なので押さえておくとベター)
http://www.cas.go.jp/jp/houan/130301bangou/gaiyou.pdf
重要なキーワードのうち、「特定個人情報保護評価」については後述
あくまで概要は「案」レベルのモノも含まれているので、将来的にどう実装するのかは分からない部分の含まれているのでご注意を…
利用は次の3点に限定
(1)社会福祉
・年金
・労働
・福祉・医療・その他
(2)税
(3)災害対策
[メリット]
・届出の負担軽減
・公平な給付(不正受給の抑止)
・社会保障に関する自己情報が容易に入手できる
・確定申告の利便性向上
・公平な税負担の実現
[目的と基本理念]
1条(目的)と3条1項(基本理念)がリンクされているので、よく読むと良いかと
[個人情報保護法との関連]
メリットは「光」とすると、当然「陰」の面もある
例えば「ビッグブラザー的」な懸念とか→当然そんなのは予め予測して対応を考えている
・制度上で守る(こちらは個人情報保護法の得則を定める事で対応している)
・技術で守る
…この2点で陰の面に対抗しようとしている
…が、これがまた難しい専門用語が大量に出てくるので、この条文で出てくる○○は何、どうすれば良いの?、というのが想定される
例えば「特定個人情報」とは?
→正解は「個人番号+個人情報」の事
[個人情報と特定個人情報]
一言で言うと…
・個人情報→従来の「個人情報保護」に関する法規に定められている個人情報
・特定個人情報→個人情報に個人番号を付加したモノ
同様に…
・個人情報ファイル→個人情報が記録されているファイル
・特定個人情報ファイル→特定個人情報が記録されているファイル
…という感じ
・個人情報「利用」事務→例えば税務署とか(行政サイト)
・個人番号「関係」事務→例えば企業(の経理)とか(主に民間サイド)
事務「者」→上記事務を行う事
…正直紛らわしいキーワードが多いので、要注意!!
[個人番号の生成、指定、通知、変更]
どういうプロセスで付けられる?
(1)自治体が機構(LASDECの事)に住民票コードを指定し、番号生成を依頼
(2)機構が番号を生成し、自治体へ提示
(3)自治体が個人へ「通知カード」で通知
変更も場合も同様で…
(1)本人が自治体へ請求(無い場合もある)
(2)自治体が機構に住民票コードを指定し、番号再生成を依頼
(3)機構が番号を再生成し、自治体へ提示
(4)自治体が個人へ通知する
(例えば情報漏えいが起きた場合等は(2)からスタートする場合もある)
[利用範囲]
9条で定められている
ポジティブリスト形式
(QA)
・個人事業主の場合、法人番号は付くの?→付かない(個人番号で代用)
・出向の場合どうなるの?→給与がどう支払われるのかによって変わる(2つ以上が給与元の場合、それぞれ付けられるというイメージ)
-----
(Session1-2 「共通番号制度(旧:マイナンバー制)施行に合わせて、IT会社は何をすべきか」(岡村先生) 後半戦)
[安全管理措置義務(要はセキュリティ対策の事)]
・再委託の制限、再委託先の監督
→これは10、11、12条で定義されている
委託は「情報漏えい」が発生しやすいポイントと認識
この辺は個人情報保護法と同様(個人番号に対して新たに明示されたという認識でOK)
ならどうすれば良いのか?
・まずは信頼できる委託先を選定する処からスタート
・次いでシッカリとした「委託に関する契約」を締結
・契約の内容が守られているか、監査・調査が行えるようにし、実施する
→レベルは扱う内容次第
・当然回らなければ、その部分は見直しする
・再委託する場合は、委託元がOKしないとダメなようにする
[本人確認の措置]
16条で明示
個人番号カードはあくまで希望者のみ配布される
全員に通知されるのは「紙の通知書(通知カード)」→なりすまれるのでは?
→この場合は顔写真入りの公的証明書を併せて提示する方向に
マイポータルの場合は紙じゃNGなんでカードじゃないと無理
→この場合スマホはどうする?(この辺は方法がまだ定められていない)
[個人番号カード]
住民基本台帳カード(ICカード)が基→これに個人番号が追加される
住所が含まれている→転勤した場合は14日以内に申請、再交付
氏名の変更(結婚して苗字が変わったなど)も同様
このICカードの空き容量の利用目的については、条例で定めた用途で利用しても良いとの事
住民基本台帳カードは、有効期限が切れ次第フェードアウトとなる
[ICカードへの記録事項]
当然盗難時等の事を想定し、プライバシー性の高い情報は記録されない
(あくまで氏名、性別、住所、生年月日の基本情報と、電子証明書と写真の画像データ→画像データはカードの写真にたいする偽造対策)
[マイポータル]
2017/1以降に提供開始予定
ここには「情報提供記録表示機能」「自己表示機能」「行政系等の手続のワンストップサービス」「プッシュ型サービス(お知らせなど)」が提供される予定
ただし機微な情報を扱う事になるため、15、19、20条で「特定個人情報の提供の制限等」を定めている
→ポイントは第三者に提供する事だけでなく、求める事、集める事、記録する事もNGという事!!(例外事項(例えば家族内でのやり取り等)は別途定めている)
(単純所持もアウトって事???→流石に広すぎ影響大きすぎなので議論中との事…その辺が実は後回しになってるので、今後継続的にウォッチする必要があります)
[情報連携の基本的な流れ]
情報のやりとりは「情報提供ネットワークシステム(総務省配下)(以下NS)」経由で行われる
Aが、Bが持っている情報が欲しい場合
(1)Aが持っている符号AをNSへ渡す
(2)NSは符号Aから符号Bへ変換
(3)符号BをBへ渡す
(4)Bは符号Bを基に個人情報を取得
(5)提供OKならBはAに情報を提供する
NSはこれらのやり取りを記録している(利用状況に応じて課金をする)
意図的に「使い勝手を悪くしている」→串刺し検索しにくくしている
…が、使い勝手優先派、プライバシー優先派両方から叩かれているのが現状(「基本的に正しく、基本的に間違っている」…の意味)
[特定個人情報保護評価の実施の仕組み]
基本的には多段階評価を行っている
[違反したら?]
・報告・立ち入り検査
・指導・助言
・勧告
・命令(通常・緊急)
それでも従わない場合は「2年以下の懲役または50万円以下の罰金」
むしろ報告時に虚偽報告の方が痛い(1年以下の懲役または50万円以下の罰金)
更には色々な罰則が定められている(最も重いのが「番号を利用する職員や事業者などが、正当な理由なく特定個人情報ファイル等を提供した」場合の4年以下の懲役または200万以下の罰金)
[導入に向けたロードマップ]
今は法案が成立したばかりの段階
これから「政省令等の整備」「条例の改正」や「システムの要件定義、構築」などが待っている
番号通知は2015年の秋に待っている
(QA)
・企業が個人番号を扱わない(収集しない)という選択肢は取れる?→取れないと考えてOK(関連する法規が改正され、例えば納税申請の際に記載必須となると、書かない場合は正しく申請していない→法に触れるという具合になるので)
・個人番号カードは「身分証明書」としては使えない?→前述の通り番号を目的外に収集するのはアウトのため、使えないと考えてOK(無論例外事項として定められている範囲(6条)については問題無し)
-----
(Session2 ライトニングトーク)
[Pasta-kさん:キャンプのお話]
・セキュリティキャンプの紹介
・プログラミングキャンプ→昨年から有志で「私立プログラミングキャンプ」やってます
今年はツアー形式で行うとの事です(こちらは社会人OKです)
[黒林檎さん:公衆無線LANのセキュリティに関するお話]
・セキュリティが甘い箇所(例えば未だにWEPとか)に繋ぐと、色々な情報が取れるので、要注意というお話
[村山直紀さん:NWスペシャリスト試験対策のお話]
・午前で初出のキーワードは、早めに午前試験を片付けて、お昼にぐぐると幸せになれるかも…
[愛知県警:人材募集のお話]
・現在セキュリティに関わる職員を募集中との事(詳しくは公式サイトをご覧下さい)
[えのきさん:LibreOfficeなお話]
・LibreOffice使おうというお話
・LibreOffice4.0の特徴のご紹介
・来週の土曜に、新大阪で勉強会やります