マイナンバーの収集にSynologyのNASは使えるか？

　「マイナンバーの扱いに困っている……」。そんなときに活用できそうなのが、SynologyのNASに搭載されている「ファイル要求」機能だ。メールや添付ファイルなどで送られてくることを避けたいなら、自分から安全に送信してもらう方法を指定してみてはどうだろうか。

相手任せは怖い

　先日、税理士の友人と雑談をしているときに、マイナンバーに関する話題になった。と言っても、先ごろ話題になった「マイナポータル」の話ではなく、番号そのものを収集する話。仕事で顧客のマイナンバーを集める必要があったのだが、その取り扱いに困ったという。

　昨年末、彼は年末調整などの用紙を配布して記載して郵送してもらっていたそうなのだが、記載漏れが結構あったという。で、再送をお願いすると、セキュリティを意識することなく、唐突にメールでそのまま番号が送られてくるので困ったという話だ。

　彼にしてみれば、送られてきたマイナンバーを安全に保管するだけでも大変なのだが、重要な情報があっさりとメールで送られてきてしまうのだから、頭が痛いだろう。

　で、「こういうのってなんかうまくできないの？」という話になったのだが、これがなかなか難しい。

　マイナンバー関連のガイドラインをいくつか読んでみると、収集に当たっては「データそのものを暗号化すること」「通信経路を暗号化すること」「第三者がデータにアクセスできる機会をなくすこと」あたりがポイントになりそうだが、そもそも「収集」という作業の場合、その方法が相手任せになってしまうことが、もっとも悩ましい。

　筆者：「オンラインの場合なら、マイナンバーカードの写しと免許証の写しをPDFにしてもらって、8けた以上の英数字と記号の組み合わせでパスワード保護して、メールではなく、ファイル転送サービスを使って転送してもらって、PDFのパスワードは電話かSMSで別に送ってもらうとか？」

　友人：「さすがに、そんなお願いはできないし、やってくれないよ」

　筆者：「そりゃ、そうだよね。でもメールは避けたいよね……」

　と、話の結論としては、こんなオチ。

　なるほど。だから、マイナンバーの所有者（社員など）がブラウザ経由でフォームに自ら番号を入力したり、カードの画像をアップロードしてクラウド上で暗号化して保管する「マイナンバー収集・保管サービス」が、有料サービスとして成立するのかと、個人的に納得したものだが、それを使え、というのも面白みもない。

　Googleフォームがいいんじゃないか？　とも思ったのだが、簡単とは言え、フォームの作成に時間がかかるうえ、本人確認が必要な場合に免許などのコピーを送ってもらうのに困ってしまう。

　そこで思いついたのがSynologyのNASを使う方法だ。ファイル要求を使えば、「データそのものを暗号化すること」「通信経路を暗号化すること」「第三者がデータにアクセスできる機会をなくすこと」の条件も満たせるうえ、収集する側、送る側、共に負担にならない方法でデータを収集できる。

相手に指定のフォームからファイルをアップロードしてもらうことができる「ファイル要求」

「File Station」の「ファイル要求」を利用する

　「ファイル要求」機能は、SynologyのNAS（DSM6.0以降）に搭載されているファイル収集機能だ。

　相手にファイルをダウンロードしてもらうためのURLをメールで送信する「ファイル転送」サービスを使ったことがある人も多いと思われるが、いわばその逆の機能で、相手にファイルをアップロードしてもらうためのURLを生成することができる。

　作成されたURLにブラウザでアクセスすると、名前を入力するためのテキストボックスとアップロードエリアが表示され、そこにファイルをドラッグすることなどで、あらかじめ指定したNASのフォルダーにファイルを自動的に保存することができる。

　実際にマイナンバーの収集を想定した設定を見てみよう。

　まず、収集したデータを安全に保管するために暗号化された共有フォルダーを作成する。コントロールパネルで新たに共有フォルダーを作成し、「この共有フォルダーを暗号化する」にチェックを付けておけばいい。

共有フォルダーを暗号化すればHDDやNASの盗難に対応可能

　続いて、通信を暗号化する。標準ではファイル要求に限らず、ファイル転送などさまざまな機能がHTTP接続となっているため、これを暗号化されたHTTPS接続に切り替える必要があるわけだ。ただ、この設定は、少々手間がかかるので、こちらの記事を参照して設定してほしい。

　もちろん、企業が社員のマイナンバーを収集する場合など、社内からしかアクセスさせないと制限するのであれば、HTTP接続のまま運用することも不可能ではない。HTTPSが必須となるのは、冒頭の税理士の友人の話のように、外部からアップロードしてもらう必要がある場合だ。

通信経路を安全に保つためにHTTPSを利用する

　ここまで準備ができたら、あとはフォルダーを指定してファイル要求を設定するだけだ。Synologyの設定ページから「File Station」を起動し、先ほど作成した暗号化共有フォルダーに収集用のサブフォルダーを作成し、右クリックして「ファイル要求」を選択する。

　設定画面にリンクが表示されるので、このリンクを相手に送信すればアップロード先にアクセスできるようになる。必要に応じて、メッセージを入力したり、有効期限やパスワード保護なども設定しておくといいだろう。

File Stationからアップロード先のフォルダーを指定して「ファイル要求」を作成

有効期限やパスワードなども設定可能

　相手が、このURLにアクセスすると、ファイルをドロップ、または「ファイルの追加」ボタンからファイルをアップロードすることが可能になる。「お名前」欄に名前や会社名を入力してもらうと、その名前をサブフォルダーとしてアップロードしたデータが保存されることになる。一度に複数のファイルを指定することもできるが、同じ名前を指定すれば、後から同じフォルダーに何度もデータをアップロードすることも可能だ。

URLにアクセスした相手は、このフォームからファイル（複数可能）をアップロードできる

　もちろん、スマートフォンからも利用可能となっており、端末で撮影した写真をアップロードすることも可能となっている。撮影したままでは写真が暗号化されていないため、マイナンバー関連での利用は推奨できないが、ほかの書類や情報を撮影してアップロードしてもらうなどの活用も可能だ（筆者の端末ではAndroidではその場で撮影してのアップロードはエラーになりギャラリーからのアップロードのみ可能だった。iPhoneは問題なし）。

スマートフォンからもアップロード可能。撮影した写真をアップロードすることも可能

一つの選択肢として検討したい

　このように、SynologyのNASの「ファイル要求」を利用すると、データを収集する作業が、比較的安全かつ効率的に実行可能になる。

　マイナンバーのように、「データそのものを暗号化すること」「通信経路を暗号化すること」「第三者がデータにアクセスできる機会をなくすこと」が要求される場合でも、HTTPSを使うことで「通信経路を暗号化すること」が可能だ。

　また、「第三者がデータにアクセスできる機会をなくすこと」もできる。例えば、ファイル転送サービスでマイナンバーが記載されたファイルを転送した場合、万が一、生成されたURLが外部に漏えいすると、ファイルそのものが参照されてしまうことになる。

　しかし、ファイル要求ではその心配はない。ファイル要求でも同様にURLを生成するが、このURLはファイルのアップロードしかできないため、万が一、URLが第三者の手に渡ってもアップロードされたデータそのものにアクセスすることはできないことになる。

　ただ、2番目の「データそのものを暗号化すること」に関しては、冒頭でも触れたように相手側によるところが大きいため、必ず暗号化してからアップロードしてもらうように、事前にしっかり相手に通知しておく必要があるだろう。

　仮に、相手がマイナンバーが記載されたWordやExcel、PDFなどにパスワード保護を設定してくれた場合でも、古いバージョンであれば解読ツールを使って解析することができるうえ、総当たり攻撃で解読されてしまう可能性もある。リスクを完全に排除したいなら、オンラインでのやり取りはあきらめるしかないだろう。

　なお、フォルダーも暗号化しているが、これはNASからHDDが取り外された場合の対策であり、データそのものは暗号化されない点に注意が必要だ。

　結局のところ、今回紹介したNASを利用する方法も完全とは言えないが、少なくとも、相手任せにメールやファイル転送サービスでマイナンバーを収集するより、安全だし、簡単であると言える。

　マイナンバーとなると、万が一があってはならないため、実際の運用は慎重にお願いしたいところだが、システムの構築に費用や手間をかけられない小規模な企業では一つの選択肢となりそうだ。