developer

【情報セキュリティ特命課の事件簿(2)】マイナンバーを暗号化せよ!

こんにちは、ダン吉です。身近に潜む情報セキュリティリスクをテクニカルに解決する「情報セキュリティ特命課」の第2弾、今回のお題は「マイナンバーの暗号化」です。

マイナンバーって使っていますか

マイナンバーってみなさん使ってますか? だいたいの方は、通知カードを1度か2度見てお蔵入り...なんて状態ではないでしょうか。私もそうだったのですが、最近「ふるさと納税」の手続きで蔵出しする機会があったのです!

お礼の品、お米10kgゲットでホックホク^^...は良いとして、忘れちゃいけない、個人住民税の控除手続き。その時、確定申告不要の手続きをするために使いました。マイナンバー蔵出しの機会としては、他にも、人事部などの社内の取りまとめ担当者に提出する時があり、そちらのケースの方が多くの方はなじみがあるかもしれません。

マイナンバーをクラウドサービスに預けるのはあり?なし?

ところで私、マイナンバーは「キングオブ・個人情報」だし「とにかく人に見せちゃダメ、絶対!」となんとなく思いこんでいました。メールアドレスなどの普通の個人情報との違いをそもそも知らなかったので、簡単に調べてみました。その結果が下の表になります。

▼マイナンバーと個人情報の違い
スクリーンショット 2016-09-30 11.09.11.png

この違いにより、マイナンバーは個人情報保護法より厳しいルールで守られていること、そして適切に取り扱うものだということが何となくお分かりいただけたかと思います。蔵出しする時には、一般の個人情報を扱うとき以上に、その預け先が本当に安全かどうかを意識して確認する必要がありそうです。

でも、社内取りまとめ担当者に提出した時、担当者が記録する先のシステムがkintoneなどのクラウドサービスだったりする時は、どうなのでしょうか?

kintoneでフィールドの暗号化を試してみました

そこで、クラウドサービスでも安心してマイナンバーのような個人情報を取り扱うことができるツールを作ってみました。イメージとしては「ゴルゴ13」に出てくるスイス銀行のような安全な預け先なのですが、さすがにそこまでは気がひけるので、名付けて「クライアント側暗号ツール」です(前回に引き続きまたもやどストレート!)。

利用イメージはこんな感じを想定しています。

▼「クライアント暗号化ツール」の利用イメージ
スクリーンショット 2016-09-30 15.11.20.png

実際の使い方としては、まずはレコード追加の画面(フォーム画面)で、「暗号化」ボタンを押します。これで、kintoneの「中の人」(cybozu.com管理者)にもフィールドの中身が分かりません

▼「暗号化」ボタンを押して指定のフィールドを簡単に暗号化
スクリーンショット 2016-09-09 17.41.56.png

そして担当者が使う必要がある時だけ、復号をします。一覧画面にあるボタンを1クリックで複数レコードを1度に復号できます。

▼ 一覧画面から復号(暗号を元に戻すこと)も簡単にできる
スクリーンショット 2016-09-30 15.44.14.png

ツールの導入方法

このツールはブラウザ「Google Chrome」の拡張機能として導入します。使用方法と同じく、導入も簡単。zipファイルを解凍し、Google Chromeの設定画面-[拡張機能]-[パッケージ化されていない拡張機能を読み込む...]のボタンからフォルダごと指定するだけです。

▼ 導入はGoogle Chromeの拡張機能の画面から
スクリーンショット 2016-09-09 17.43.29.png

注意点としては、暗号化にAESを使用しているため、最初に一度だけ秘密鍵の設定が必要です。この秘密鍵は超・重要!なので、絶対になくしてはいけません。またkintoneにアップロードするとせっかくの暗号化ツールの意味がなくなってしまうのでやめましょう。各自の責任で管理をする必要があります。また、複数人がそのフィールドを参照したい場合は秘密鍵の共有をします。

AESについて詳しく知りたい方は、一般的な資料がインターネット上にたくさんありますので、検索サイトで調べてみてください。

蛇足ですが、このツールを使ったとしても、正式なマイナンバーの取り扱い業者の資格を得られるわけではありませんので、ご注意ください。

おわりに

情報セキュリティ特命課は、日常に潜むヒヤッとする情報セキュリティリスクを解決する取り組みをしております。われわれの試作品への皆さまからの反響が大きいほど、実用化の可能性が高まりますので、お読みいただいて「あるある〜」「これ欲しい!あったら買う!」と思ってくださった方はぜひSNSでのリアクション、拡散へのご協力をいただけたら幸いです。

「情報セキュリティ特命課の事件簿」バックナンバー

【情報セキュリティ特命課の事件簿(1)】人事部のパワポに潜む重要データ

技術者向けサイト

「cybozu developer network
★お知らせ★期間限定!オリジナルグッズが当たるキャンペーン実施中です!campaign_top.png

この度、developer network は全面リニューアルしています。より使いやすくするために、グローバルメニューの追加やカテゴリを見直しました。リニューアルに伴い、アンケートにお答えいただいた方に抽選で developer networkノベルティ(モバイルバッテリーなど)が当たるキャンペーンも実施中です!
アンケートでは、developer network に率直なご意見をいただきたいと思います。「~のサンプルが欲しい」、「~がわかりづらい」など何でも構いません。皆さまのご意見お待ちしております。
ご意見登録(キャンペーン応募)フォーム

皆さまから寄せられご意見を元に、より一層充実したサイトにしていきます^^

★メンバー登録特典★
・コミュニティに投稿やコメントしたり、Tips に質問できます。
・API のアップデート情報の通知を受け取ることができます。
・5ユーザー、1年間無償の開発者ライセンスを申し込むことができます。
・[★New] Tipsやサンプルの動きを確認できるデモサイトを利用することができます。
・[★New] HTTP Client Tool for kintoneを利用することができます。