はじめに
くどうです。道産子です(いらない情報です)。
9/26に第22回北海道情報セキュリティ勉強会に参加しました(というかスタッフでもあり)。
そのレポートになります。
勉強会
第22回は、上原哲太郎 先生をお招きして「今さら聞けないマイナンバー&改正個人情報保護法 ~シス管の立場から」というテーマでお話していただきました。
前編と後編にわかれており。
前編:そもそもマイナンバーって何だっけ?
後編:企業情シスのシス管は何をしなくちゃいけないんだっけ?
http://secpolo.techtalk.jp/22thworkshop
最初は、まっちゃだいふく氏と八巻氏(せきゅぽろ代表)による前座。
どうやら、携帯で7GBは2週間でなくなるらしい
マイナンバーについては、資料をちら読みした程度の知識しかなく、初心者気分で参加です。
セッションで使われた資料は以下に公開されてます。
[slideshare id=53217344&doc=random-150926063426-lva1-app6891]
ざっくりキーワードなど。
10/6から配布
法人番号と個人番号
個人番号を集めるときの「本人確認義務」
住民票コードと基礎年金番号など色々な背番号
住民票コードは「自治体と自治体、国」の繋がり
マイナンバーは「国が主に利用」する
マイナポータルによる運用
チェックデジットは日本の恥
マイナンバー制度における情報連携
送られてくるのは通知カードであって個人番号カードではない
個人情報漏えいの心配
退職者の番号はバックアップを含め破棄する必要がある
故意の提供には懲役4年
不正取得には懲役3年
分散管理によるリスク分散
マイナンバー保護評価Web
本人同意しても目的以外利用を禁止
法人番号は利用制限なし
法人番号DBが提供されWebAPIも用意される
所得情報は収集されるが資産情報は取得されない
脱税していると副業バレます
施行3年後の利用範囲の拡大
名寄せのコストが劇的にさがる
統合認証やフェデレーションで行えば十分
民間認証機構の存在
サイバー攻撃で狙われるのはサプライチェーンや協力会社?
韓国でに情報漏えい
攻撃されるのはコンピューターではなく人
リスクとベネフィット
システム管理者はガイドラインを最初に読もう
業務上必要な人だけが個人番号を扱う
中小事業者は社内IDを個人番号をあつめて金庫に放り込んでおきましょう
個人情報が漏えいしたら
自治体がナンバーを作成し、J-LIS 地方公共団体情報システム機構はナンバーを確認し発行する
もし番号が漏れても気づきにくい
非常にわかり易いセッションだったのと、ほとんど知識として分からなかったので ( ・∀・)つ〃∩ ヘェーヘェーヘェー...もう1ヘェー って感じです!
内閣官房 マイナンバー
http://www.cas.go.jp/jp/seisaku/bangoseido/
特定個人情報保護委員会 ガイドライン資料集
http://www.ppc.go.jp/legal/policy/document/
J-LIS 地方公共団体情報システム機構
https://www.j-lis.go.jp/
第22回北海道情報セキュリティ勉強会(せきゅぽろ) #secpolo まとめ
http://togetter.com/li/878862
まとめ
マイナンバー、確かに不安なことも少なからずありました。しかし、今回の勉強会では、仕組みやセキュリティの話など、初心者レベル程度にまでレベルアップ出来たいと思います。
哲太郎先生のセッションは、わかり易く資料も読みやすいので一読をお勧めします。
実際に運用が始まってシステム管理者の方は、もっと知る必要が出てくる思います。ガイドラインを一読しましょう。
マイナンバーは便利なものです、情報が洩れる(漏れても実際にはIDぐらいしかもれない)可能性があるからと言って無下に反対する必要もないと思います。
導入によって利用者側にもメリットが、沢山あるので運用側にも頑張ってもらいたいです。
いや~北海道の人、これ参加しなかったのホントもったいないわー。