マイナンバー法の施行に合わせて、大小様々なITベンダーが対策サービスを提供している。その多くが、慎重な取り扱いを求められる個人情報を外部委託するというものだ。外部委託は、情報漏えいのリスクを回避するために有効な手段のひとつだが、担当者としては、委託先の信頼性も担保しておきたいところだ。国際規格団体である英BSIは、パブリッククラウドにおける個人情報保護のための国際規格の認証を2014年に開始、2015年10月には国内第1号となる認証企業が誕生した。
事業者選定の指標となるか
その内容は、クラウドサービス事業者の、個人情報保護に関わる法的義務やその他の義務の順守を保証する仕組みを、利用者に提供するというものとなっている。外部委託先企業が、クラウドサービスとしてマイナンバー対応サービスを提供しているのであれば、このISO/IEC 27018の認証を取得しているかどうかが、事業者選定の1つの指標となる可能性もある。
ISO/IEC 27018の仕組み(出所:BSIグループジャパン)拡大画像表示
しかし、2014年7月に開始したばかりの認証制度ということもあり、取得企業は2015年10月現在でわずか3社しかない。認証取得第1号が、クラウド型ファイル共有サービスを提供する米Dropbox社。残る2社はいずれもアジアの企業で、1社は香港の企業、もう1社が日本のITベンダーであるTKCだ。同社は、世界で3番目のISO/IEC 27018認証取得企業ということになる。
TKCは、会計事務所や大手上場企業、地方自治体を顧客に持っており、センシティブなデータを扱うことが多い。そのため、本社がある栃木県内のデータセンターには、堅牢性、高セキュリティを保つために多大な投資を行ってきた。2015年10月16日に行われた認証授与式で同社の角一幸社長は「今後マイナンバー関連で、多くの企業、自治体の個人情報を扱うことが想定されることから、いち早くISO/IEC 27018の認証取得に取り組むことにした」と認証取得の理由を語っている。
TKCの審査を行ったのは、英国の国家規格協会BSIの日本法人であるBSIグループジャパン。同社の竹尾直章社長は「クラウドサービスの急速な普及やマイナンバー制度の施行という状況を鑑みて、今後個人情報を扱うクラウド事業者の大半は取得することになるだろう」としており、国内でも2019年までに100社強が取得するとの予測を示している。
