japan.internet.comThe Internet & IT Network
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2008年9月6日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
iPhone
Youtube
Google
モバイルノート
Web ミミズク
検索連動型広告
Windows 7
情報漏洩
テーマ一覧
転職ならen
派遣ならen
アルバイトならen
IT求人情報
新規登録
変更・解除
オプトインメールの
登録・変更・解除
イベントカレンダー
書評「IT の耳」
出張・接待検索
ニュースガジェット
注目
パートナーサイト
転職ならエン
就職ならen
求人ならen
履歴書ならen
アルバイトならエン
グループ会社
株式会社アエリア
(株)サンゼロミニッツ
株式会社エアネット
お問い合わせ
広告掲載について
リンクについて
著作権について
その他お問い合わせ
利用規約
プライバシーポリシー
会社概要地図
パブリック コラム2003年11月12日 00:00
e-Japan 先端テクノロジー解説
e-Japan 先端テクノロジー解説 日本ユニシスメールホーム
e-Japan計画の実現に使われる様々な先端テクノロジーを、基本原理から応用・実用まで、時にはエッセー風に、毎週易しく解説するコーナーです。

ICカードにおける個人情報保護と運用

国内国内internet.com発の記事
1.ICカードにおける個人情報保護
住民基本台帳ネットワーク第二次サービス(8月25日開始)に伴う住基カードの交付が始まった。出足は低調であるものの、アクセスログ開示や個人情報保護の法制化も進み、多目的利用も視野に入ってきたことから今後の普及度合いが注目される。行政サービスの正当な受け手であることを保証する「身元確認」に最有力の手段であることは間違いないが、裏腹に身元を隠せない事態への使途が懸念されている。

行政サービスの面からは、個人情報保護法の成立に伴い、従来からの、不正アクセスやウィルスといった外部からの脅威への対策に加えて、職員等による個人情報の流出といった内部からの脅威への対策も求められている。

内部からの脅威への対策の一つとして、住基カードと同じICカードに職員の電子証明書を格納した職員個人認証がある。近々自動車運転免許証や旅券(パスポート)にもICカードが使われ始める。

ICカードによる個人認証(個人の特定とアクセス制御)を実現するためには、認証に用いる情報をどのように管理すべきかが最大の問題となる。従来は個人認証に必要な情報を業務用データベースの一部として管理することが一般的だったが、現在では、個人認証に必要な情報をディレクトリサーバに集中管理し、様々なプロダクトや業務アプリケーションから利用する形態、すなわち、ディレクトリサーバを中心とした個人認証システムを構築することが主流となってきている。

健康保険証や介護保険証、行政手数料や税の支払いといった住基カードの多目的利用が進めば、2〜3年後には国民のほとんどが住基カードを持ち歩かないと日常生活に支障をきたすことになる。この場合、紛失や不正使用など、運用管理への要件は厳しい。ビジネスの世界であれば、個人の情報保護に事故が起きれば他の認証サプライヤーへ乗り換えたりできるが、行政機関の場合には逃げ道はない。

ソフトウェアや技術のみでは個人の情報保護の確保は出来ないことを、認識すべきである。セキュリティを確保するためには、情報セキュリティポリシーの策定や利用者へのセキュリティの啓蒙などのセキュリティマネジメントが重要である。あくまでも、人が中心であることを忘れてはならない。

個人認証システムの安全な運用を実現する上での検討すべき課題について、以下に簡単に紹介する。

2.個人認証システムの検討課題

(1)不正発行の防止:
最初に検討すべきは、ICカードの不正発行を如何に防止すべきかであるが、ICカードの不正発行防止は格納されている電子証明書の不正発行防止として捉え、認証局運用規定の遵守により不正発行を防止することになる。

(2)不正使用の防止:
次に検討すべきは、ICカードの不正使用を如何に防止すべきかである。ICカードの不正使用防止は「他人にICカードを使用されないようにする」ことと、「他人がICカードを使用できないようにする」といった観点から検討を行う。

他人にICカードを使用されないようにするとは、例えば、ICカードを職員証にして常時携帯させ、机の上などへの放置を防止することである。

他人がICカードを使用できないようにするとは、他人にICカードを拾われた場合に備え、PIN(Personal Identification Number:入力パスワードのようなもの)値として職員番号や住民票コード、生年月日など、簡単に判別できるような値を使わないように啓蒙することや、電子証明書の失効管理を適切に実施することである。

(3)不正使用の早期発見:
不幸にして、PIN 値が盗まれ、ICカードを他人に不正使用された場合、どのような手段で早期に発見すべきかについても検討が必要である。

不正使用の発見には最終ログイン日時の表示が有効である。利用者が、表示されたログイン日時を見て、身に覚えがなければ不正使用されたことになる。

(4)不正使用発覚時の対応:
不正使用されたことが発見された場合、どのような対応を実施するか、事前に検討しておくことも重要である。

ICカード不正使用の影響範囲を特定するためには、業務アプリケーションにて適切な監査証跡を採取することが必要である。

(5)使用不可時の対応:
最後に、ICカードの紛失・破損や不携帯、PIN ロックなどICカードが使用できない事態への対応方法についても検討が必要である。

基本は、情報セキュリティポリシーに則って基本原則を決定することである。しかし、原理原則に囚われすぎると利用者の利便性を損ない、強い抵抗に出会うこともあるため、ケースバイケースで緊急対応が必要なものに対しては、セキュリティ重視の基本運用であっても利便性重視の緊急対応を実施するなど、弾力的な運用についても検討しておくことが必要である。そしてもちろん、結果を忌憚無く公開し、論議を尽くすべきことは論を待たない。

(注)住基カードの詳細は、総務省の公開 Web ページ「住民基本台帳ネットワークシステムと住民基本台帳カードでひらくIT社会」をご参照下さい。

佐藤 良夫

日本ユニシス株式会社
電力事業部/電力ビジネス統括1部

提供:日本ユニシスセキュリティ ソリューション
海外のインターネットコムアメリカ韓国ドイツトルコ
Copyright 2008 Jupitermedia Corporation All Rights Reserved.http://www.internet.com/