重要な情報はデータベースで管理、そのための参考書の決定版が登場
従業員のマイナンバーを集めて管理しなければならない企業の対策も遅れがちだ。この時期に入ってもまだ、マイナンバー関連のセミナーが盛況な状況からそれが窺える。大手企業はさすがに社内で体制を構築して、システムの改修など急ぎ進めているようだが、中小企業になると全く手つかずなんて企業もまだまだ多そうだ。
実際にマイナンバーを運用しなければならないのは2016年1月以降の税務や社会保険の手続きなので、残り時間は少ないが全く手遅れと言うわけではない。アルバイトなどを大量に雇っているとかでない限り、来年の年末調整までに体制が整えばなんとかなるだろう。
社員が数10人という規模であれば、とりあえずExcelなどのスプレッドシートで管理することもできなくはない。専用のノートPCを用意し、使わないときには鍵付きのキャビネなりに保管。あとは、それを利用する人を制限して、詳細な利用記録を行う台帳なりを作って管理すれば最低限の安全管理措置はできるかもしれない。
一方で数100人の従業員を抱えていたり、日常的にアルバイトの出入りが多くあったりする企業であれば、マイナンバーはデータベースで管理するのが現実的だろう。情報を分散させずにデータベースに一元管理する。アクセスコントロールを厳密に行い、監査が可能なレベルでログを取得しておく。さらに、必要に応じて暗号化なりの処理もしておけばいいだろう。
セキュアなデータベース構築・運用の原則
とはいえ、マイナンバーだからと何か特別なことをしなければならないわけではない。企業にとって重要な情報であれば、マイナンバーの管理と同様な安全管理措置で情報を守るべきだ。安全管理措置では、アンチウィルスや不正侵入防止などの各種セキュリティ対策を思い浮かべるかもしれない。しかし、DB Online的にはまずはデータベースでしっかりと情報を守ることをお薦めする。
データベースで重要な情報を安全に守る際に、最適な参考書となる書籍が出版されている。それが『Oracleデータベースセキュリティ セキュアなデータベース構築・運用の原則』だ。
これは、米国Oracleのセキュリティ専門家が執筆した書籍で、たんにOracle Databaseのセキュリティ機能の解説を行っているものではない。「セキュリティ・ポリシーの考え方から入って、情報を安全にデータベースで管理するための一連の流れについて解説されています。新しいところでは、昨今話題の従業員の健康に関する情報をどう管理すればいいかなどについても言及しています」と語るのは、日本オラクル クラウド・テクノロジーコンサルティング統括本部 ビジネスアライアンス部 部長の小田圭二氏だ。
クラウド・テクノロジーコンサルティング統括本部 ビジネスアライアンス部
部長 小田 圭二氏
この書籍を読めば、データベースを安全に運用するには監査だけできるようにしておくだけではダメだと言うことがよく分かる。内部犯行や高度な標的型攻撃からの保護など、セキュリティを確保するには多岐にわたる対策を行う必要がある。それらを丁寧に解説しているのがこの書籍である。
「ページ数は多いけれど、全てを一読する価値があります。ここに掲載されている情報は日本にはなかったものも多いので、Oracle Databaseのコンサルタントの立場から見てもお薦めの書籍です」(小田氏)
マイナンバーの管理をデータベースで行う際にどうしたらいいかについては、米国のソーシャルセキュリティ・ナンバーの管理項目があるので、それをマイナンバーに読み替えれば良い。日本との違いについては、訳注などでも解説されている。もちろん、それだけでは足りない日本独自の対応部分については、日本オラクルで対応するための「マイナンバー・テンプレート」なども提供しフォローしているとのことだ。
「そもそも、なぜこの本が必要なのかの解説があり、個別対策法と言うよりは上流からどう進めるべきかの解説となっています。なので、つまみ読みではなくじっくりと読み込んだほうがためになる話がたくさんあります。米国などでもセキュリティ対策は、ネットワークを中心に行う傾向もあるようですが、大事なデータがあるのはデータベースです。もちろんOracle Databaseであれば、こういう対策方法がとれるといった便利な機能の解説も入っています」(小田氏)
