Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

国民ID制度の先行国に学ぶ、マイナンバー対策の勘所―韓国ペンタセキュリティ キム・ドクスCTOが解説

  2015/11/19 06:00

「識別情報」と「認証情報」を明確に区別することが重要

 では、韓国の制度では具体的に何が課題として挙がっており、そしてそれは日本のマイナンバー制度でも起こり得るものなのだろうか?キム氏によれば、これを理解するには2つの観点から両国の制度を比較検討する必要があるという。  

 「まずは、『個人識別用ID』『個人情報』『認証情報』の3つをきちんと区別して考えることが重要だ。IDは本来、記号の羅列に過ぎず、これに氏名や生年月日、メールアドレスなど、個人を特定できる個人情報を別途組み合わせることで、初めて個人を識別できるようになる。しかし韓国の個人識別番号には、生年月日や性別、出身地などを特定できる数字が含まれており、ここから個人情報を類推して容易に抜き出せる点がたびたび問題とされてきた」

図:個人識別番号の付与による懸念点
「Security Online Day2015」(2015/09/07)、ペンタセキュリティシステムズ「韓国の教訓から学ぶ!日本のマイナンバー制度に求められるセキュリティ対策とは」講演資料[クリックすると図が拡大します]

 一方で日本のマイナンバーは、それ自体に個人情報は含まないため、「個人情報とマイナンバー情報をきちんと分けて管理する限りは、韓国のように両者の混同に起因する問題は起きにくいのではないか」(キム氏)という。  

 そしてもう1つの重要ポイントが、「識別(Identification)」と「認証(Authentication)」を明確に峻別すること。韓国では、この両者を混同した運用が多く行われていたことも、大規模な個人情報漏えいを招いた原因の1つだったとキム氏は指摘する。  

 「識別IDが正しいだけでは、他人がそのIDを使ってなりすましている可能性を否定できない。そのため別途認証情報として、本人のみが知っている知識や所有物、身体的・行為的特徴などの提示を求めるのが通常だ。しかし韓国ではかつて、システムにログインする際の認証情報として、個人識別番号を用いるシステムが多く存在した。つまり、本来は識別にのみ利用できるはずの情報を、認証に用いていた。これにより、不正アクセスのリスクが多数放置される事態を招いてしまった」  

 こうした反省から、現在韓国では住民登録番号の保有を厳しく制限し、個人情報を保有する際には暗号化を義務付けるなど、個人情報を厳格に保護するための各種法制度が順次制定・施行されている。


著者プロフィール

  • 吉村 哲樹(ヨシムラ テツキ)

    早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day 2015 講演レポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5