マイナンバーのセキュリティ対策 面倒な事態を避けるには？：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

緊急時のマニュアルはどうする？

　前項で挙げた以外にシステム管理者が考慮すべきことは、自分自身の責任がどこまで及ぶのかを認識し、どう行動すべきかを再確認することだ。例えば、何重にもチェックして登録したはずのA氏のマイナンバーが本当の番号と違っていたとしよう。給与明細書に誤った番号を記載することが絶対に避けなければならない。

　従来なら、システム管理者のアクセス権限の中で個人情報に関する修正を認めていたところもある。しかし、今回はマイナンバーではアクセス権限が厳しく制限される。例えば、ある企業で修正権限を持つのはZ副社長だけだったとする。だが、Z副社長はバッチ処理時間である午前1時頃には既に自宅で熟睡している……。さて、システム管理者としてはどう対応すべきか。こういう場合のマニュアルや対応方法について、実務で回せる“資料”をぜひ作成していただきたい。

経営者が理解すべきこと

　マイナンバー制度への対応について「必要経費が増えるだけで儲けにならない……。政府が悪い！」などという後ろ向きの考えは捨てほしい。上場企業であろうと非公開企業であろうと、特にサラリーマン社長ほどこういった考え方に陥りやすい。

　こうした経営者の気持ちはとても理解できる。しかし、決まった制度である以上は気持ちを切り替え、むしろ制度への対応をビジネスチャンスにしてしまう発想でいた方がいい。システム管理者は「できるだけ安く簡単に……」と考えるが、経営者としては「わが社のノウハウで100億円規模のビジネスにしたい。異業種の○社に声を掛けてみよう！」ということだ。

　そして、マイナンバーを取り扱うことのリスクもよく見極めてほしい。企業の最終責任は経営者にある。

　実は、今回のマイナンバー制度への対応では今まで以上にITシステムの品質が問われることをしっかりと認識しなければならない。社内で対処できるシステムトラブルならまだマシだが、情報漏えいといった事態になれば、経営者は辞任しなければならない状況に追い込まれかねない。

　従業員300人の企業なら、その家族を含めた1000人ものマイナンバーを管理していくことになる。管理も今まで以上に厳格でないといけない。御社では誰もが「ここまでしていて漏えいしたら、どうしようにもない」と思うほどに厳格なレベルで管理や運用をされているだろうか――わずかな疑問が経営者自身の進退に影響するということを理解してほしい。「まあ、いいか」で全てを失いかねないということだ。

　次回は現場で実際に発生したマイナンバー対応での困った事例や、ビジネスチャンスに変えた例などを紹介しよう。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。