ページの本文へ

Hitachi

自治体ICT 応援サイト CyberGovernment Online

番号制度(10)職員認証の強化について

読んでナットク!自治体ICT

番号制度導入にともない、住民の個人情報を取り扱う頻度・範囲が広がることから、番号法では自治体に対して個人情報の適正な管理のために必要な措置を義務付けています。そのため、今まで以上に厳密な職員認証がシステムへのアクセス時に求められます。
今回は「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(以下、ガイドライン)」と別添「特定個人情報に関する安全管理措置(行政機関等・地方公共団体等編)(以下、別添安全管理措置)」で示される職員の認証要件と対策についてご紹介します。

ガイドラインの別添安全管理措置で求められる職員の認証要件

ガイドラインの別添安全管理措置では、特定個人情報を情報システムで取り扱う場合に自治体が講ずべき職員の認証に関する措置を二つあげています。

1.アクセス制御と厳密な職員の認証
事務取扱担当者(※)以外からの特定個人情報の参照・悪用・漏えいを防ぐことが重要です。そのため、事務取扱担当者および当該事務で取り扱う特定個人情報の範囲を限定するためのアクセス制御が必要となります。
また、事務取扱担当者が正当なアクセス権限を持つ職員であると識別した上で認証する必要があります。識別方法としては、ユーザーID、パスワード、磁気・ICカード、生体情報などがあります。

※特定個人情報を取り扱う担当者

2.システム利用状況の記録
利用状況(ログイン実績、アクセスログなど)の記録が必要となります。

実運用での課題について

1.なりすましによる不正アクセスのリスク
職員一人ずつに個人IDを付与し、職員認証を行い、利用記録を残すことで、アクセス状況を管理することができます。しかし、この場合、パスワードを各職員が厳重に管理することが求められます。もしパスワードが漏えいすれば、本来アクセス権限のない第三者が個人IDを不正利用(なりすまし)する危険性があり、不正アクセスによる特定個人情報の漏えいリスクが高まります。
同様に、パスワードの代わりにICカードを利用する場合も、カードの貸し借りや紛失、盗難などにより、不正アクセスのリスクが残ります。
つまり、IDとパスワード、ICカードの組み合わせでは、セキュリティを十分に確保することができないという課題があります。

2.窓口業務における業務効率向上とセキュリティの両立
一方で、複数の職員が共通端末を利用する窓口業務においてセキュリティレベルを上げるには、共通端末を利用する職員が入れ替わる度に個人IDでログインする方法が考えられます。しかし、人が変わるごとにログインが必要になるため、業務効率の低下や、住民サービスの提供に時間を要するなどの懸念があります。業務効率を考慮し、課や係単位の共有IDで運用している自治体もありますが、誰が利用したのかを特定できないため、セキュリティ面で好ましい状況とはいえません。
つまり、個人ID・共有IDのどちらの場合でも「業務の効率向上」と「高いセキュリティレベル」の双方を得ることは難しいのです。

▼自治体における職員認証の現状と課題を図解
[イメージ]自治体における職員認証の現状と課題

生体認証による対策

上記の課題に対する対策の一つが、生体認証の利用です。生体認証は、本人の身体の一部を利用するため、確実な本人確認が可能です。例えばPCや業務システムのログイン時に「個人ID+生体認証」または「共有ID+生体認証」を利用すれば厳密な職員認証が可能になり、ログインした職員をログに記録することが可能となります。
また、生体認証を導入することで、パスワードの管理が不要となり、「なりすまし」のリスクも低減します。
さらに、窓口業務を共有IDで運用する場合でも、生体認証を組み合わせることで、誰が利用したのかを特定することができます。
このように生体認証の導入は、セキュリティと業務効率向上の両立を可能にします。

▼生体認証による解決を図解
[イメージ]生体認証による解決

課題 解決内容/導入効果
アクセス権設定
職員認証強化
  • 権限設定された共有IDに対して生体認証による厳格な本人認証を行い「なりすまし」を防止
  • 権限のない人が住民の個人情報にアクセスし情報が漏えいするリスクを極小化
アクセスログの取得 個人のアクセスログが残るので、万が一漏えい事故が発生しても、追跡調査が可能
業務効率低下 指をかざすだけの簡単操作でパスワード入力負荷操作を軽減し、スピーディに認証

地方公共団体情報システム機構では、「住民基本台帳ネットワーク及び番号制度関連事務全項目評価書」において、不正アクセスのリスク対策として、生体認証の導入を挙げています。
このような背景を受け、生体認証を導入する自治体が増えてきています。

特定個人情報保護評価書(全項目評価書)
住民基本台帳ネットワーク及び番号制度関連事務全項目評価書(地方公共団体情報システム機構)(PDF)
[URL]https://www.j-lis.go.jp/data/open/cnt/3/887/1/zenkoumoku_20140902.pdf

日立グループの「指静脈認証ソリューション」

日立グループでは指の静脈を利用した「指静脈認証ソリューション」をご用意しております。指静脈認証は従来の生体認証(指紋、顔、虹彩、声紋)と違い、生体内部に隠れた特徴を利用するため、偽造が極めて困難で、安全性に優れています。
指の表面のかすれや乾燥肌による影響を受けにくく、また、一人につき最大10指まで登録できるため、ケガなどで認証しにくい場合にも対応できます。指を装置に置くだけの簡単な操作で、安定的な認証精度を実現し、現在100団体以上の自治体に導入いただいております。

(2015年1月28日)

  • * 記事の内容は配信時点での情報をもとに作成しているため、その後の動向により、記載内容に変更が乗じている可能性があります。

[リンク]自治体向け番号制度導入支援ソリューションのページへ

自治体での論点整理を始め、影響調査や導入計画策定を支援するサービスも設けておりますので、お困りのことがあれば日立グループ営業にお声がけください。

関連記事

[リンク]セキュリティ まとめページへ

[リンク]番号制度 まとめページへ

テーマ別まとめ

注目キーワードに関連した記事をまとめました。

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

配信を希望される方へ

自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。

ご登録はこちらから