EDIコラム「改正個人情報保護法施行で注目される「EDIのセキュリティ」」(2023/12/19更新)
2022年4月に施行された改正個人情報保護法では、個人情報を扱う企業や事業者に対し、さまざまな違反行為を行うとこれまで以上に重い罰則が科されることになりました。そこで昨今注目されているのが、EDI(Electronic Data Interchange)システムで取り扱われる個人情報の保護です。EDIシステムを導入する企業が増える中、セキュリティ面にどう対応するかが重要になっています。
そこで本コラムでは、EDIにおける個人情報とセキュリティについて解説します。
個人情報とは、氏名や性別、生年月日、住所、連絡先、口座情報、給与情報など個人を特定できる情報のことです。単体では個人を特定できない場合でも、他の情報と組み合わせることで特定できれば個人情報に該当します。
例えばメールアドレスについては、ユーザー名やドメイン名から特定の個人を識別することができる場合は個人情報となります。また政令・規則で定められた「個人識別符号」や顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋なども個人情報であり、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号などもそうです。
これを守るのが個人情報保護法ですが、2022年4月に改正され、措置命令や報告義務違反の罰則内容が引き上げられました。例えば法人による措置命令違反については、改正前は「30万円以下の罰金」だったものが改正後は「1億円以下の罰金」となり、法人による個人情報データベース等の不正流用では、改正前は「50万円以下の罰金」だったものが改正後は「1億円以下の罰金」となっています。
さらに個人情報について、漏えいなどにより、個人の権利や利益が損なわれる恐れが大きい場合は、個人情報保護委員会への報告・通知が義務化されました。これは、事業者が保有する個人情報の状態を常に監視し、漏えいや毀損などが行われていないかをチェックする体制が必要だということです。
一般的に、従業員情報や顧客情報などの個人情報は、企業のシステム内のデータベース等で管理されています。システム上は誰もが閲覧できるわけではなく、一部は暗号化やマスキングがされたり、一定の権限を持った人のみが閲覧・操作できるといった運用が行われます。この場合、システム内で運用されている限り問題とはなりませんが、このデータの一部を基にして、例えば金融機関に給与支払いを依頼するファームバンキングや、コンビニ決済などで利用する収納代行業者とのデータのやり取りをEDIを通じて行う場合には注意が必要です。
給与や手当の額、決済額そのものは個人情報とはなりませんが、氏名、会社名、口座番号などと組み合わせることで個人が特定できてしまいます。そのため、銀行や収納代行業者などの外部機関へこれらのデータを送る際に、情報漏えいのリスクが発生します。
では、EDIシステムの中で個人情報が漏えいするセキュリティリスクは、どこから発生するのでしょうか。もっとも大きなリスクとなるのは、EDIの関連システム内から盗まれるケースでしょう。
EDIの運用担当者は何も保護をしていなければデータの中身を見ることができます。そこで格納されているDBは暗号化をする必要があります。このようにEDI関連のサービスにおいてもセキュリティマネジメントができていないと、自社の個人情報が外部に漏れるリスクがあるのです。
EDIを委託している事業者がシステム内でやり取りしているデータの中身を閲覧できる、というのは利用者側からすれば、大きなリスクです。このリスクを低減させる意味でも、データを暗号化し、EDI事業者では解読不能な状態にすることが大切です。
また昨今インターネット回線を利用した「インターネットEDI」が急速に普及しつつあります。このサービスはコスト的にも比較的リーズナブルで、データの伝達速度も速いので、利用企業が急増していますが、セキュリティの面では注意が必要です。留意すべきなのは、回線の品質です。インターネットEDIでは、利用する回線がセキュリティを担保できるかを十分に吟味してから利用することをお勧めします。
このようにEDIのシステムの中では、機密性の高い情報を扱うため「EDIの仕組みを自社構築したほうがよいのではないか」という考え方もあるかと思います。しかしその場合は、セキュリティ対策を自社で継続的に実施する必要があります。
一方、データの暗号化や回線の安全性について信頼できる事業者であれば、EDIをアウトソーシングすることによって、高いレベルのセキュリティ対応、最新のセキュリティ対策、最新セキュリティのバージョンアップをベンダー側が行ってくれます。さらに社内リソースやコストを大幅に低減できます。
EDIシステムのアウトソーシングでは、事業者が提供するSaaS(クラウドサービス)を利用することが多くなるでしょう。独立行政法人 情報処理推進機構(IPA)が発行した「情報セキュリティ白書2023」には、「パブリッククラウド(SaaS)」を「導入済み」と回答した企業が53.6%、「パブリッククラウド(IaaS、PaaS)」を「導入済み」と回答した企業が44.6% で、多くの企業がクラウドサービスを導入していることが紹介されています。そのメリットとして、オンプレミスのシステムに比べて導入が容易であり、必要な機能を必要なだけ利用できることが挙げられています。
独立行政法人 情報処理推進機構(IPA)「情報セキュリティ白書」はこちら
このように普及が広がっているクラウドサービスですが、セキュリティについては、ユーザー側も事業者任せにせず留意しておくべきポイントがあります。
信頼できる事業者を選定するには、セキュリティ対策に必要な情報を事業者に問い合わせるなど、利用者側の積極的な対応も不可欠です。また、ユーザー側の設定ミスにより、部外者から情報が丸見えになっていたり、不正にアクセスされて情報が漏えいするケースも珍しくありません。「情報セキュリティ白書2023」には、サイバーセキュリティの専門家を対象にした調査で、最も懸念しているクラウドセキュリティの脅威として、62% が「クラウドの設定ミス/セットアップの間違い」を挙げているという結果を紹介しています。
クラウドサービスの利用においては、事業者が自社のサービスについて、どのようなセキュリティ対策を実施しているかをユーザー側が把握し、さらに、さまざまなケースにおいて、責任の所在がユーザー側、事業者側のどちらにあるかについても、明確にしておく必要があります。
これはEDIの運用をアウトソーシングする場合でも同じです。例えば設定やセットアップについても一切ユーザー側が関わらないのか、あるいは自社のIT部門も場合によってはタッチするのか、そういった細かなことも取り決めておき、トラブルの際の責任の所在もあきらかにしておくべきでしょう。
信頼のおけるEDI事業者は、こうした責任の所在などについても、あいまいにせず、ユーザー側の要望を聞きながら、納得のいく契約を行ってくれるはずです。どんな質問にも真摯に回答してくれるかどうか、信頼できる事業者を選定する上でもっとも重視するのはそこではないでしょうか。
さまざまなクラウド利用が広がっていくなかで、自社の社内のセキュリティレベルに関して気を配るだけでなく、EDI事業者のセキュリティレベルをチェックすることも忘れてはいけません。もしその事業者のセキュリティ施策が十分でないと判断された場合は、すぐに選定対象から外すくらいの決断が欠かせません。
このようなセキュリティレベルをチェックするためには、その事業者がどれだけ情報開示を分かりやすい形で実施してくれるかも重要となります。そうして開示された情報から、法規制への対応(内部統制、個人情報保護法)や情報漏洩・消失について広範で最新の施策をサービス内で実行しているかをチェックしていきます。
以下のチェックシートは、EDIのセキュリティチェックシートです。自社でEDIシステムを構築している場合は、下記の項目を自社で実施できているかを確認してみましょう。またEDIをアウトソーシングしている場合は、アウトソーシング先のベンダーで実施できているかチェックしてみてください。
最後に、EDIのセキュリティを強化するのに役立つSCSKの「スマクラ セキュア」についてご紹介します。スマクラ セキュアは、インターネットEDI「スマクラ2.0」の環境上で提供するEDIサービスです。スマクラサービス側にEDIデータの暗号化機能を有しており、各企業側で暗号化やマスキングといった作業を実施することなく、高セキュリティな電子取引が可能になります。
また、「スマクラ AnserDATAPORT接続サービス」は、インターネットEDIサービスに、株式会社NTTデータが提供する、企業・自治体と金融機関との安全な取引を実現するファイル伝送サービス「AnserDATAPORT(アンサーデータポート)」と連携するサービスです。スマクラ セキュアでデータの中身を暗号化し、データの秘匿性を高めますので、安心安全な金融機関とのファームバンキング接続が実現できます。
より詳しい情報を下記で紹介しています。ご興味ある方は、ぜひご覧ください。
