マイナンバー対応の問題をチャンスに変えた出来事：萩原栄幸の情報セキュリティ相談室（4/4 ページ）

[萩原栄幸，ITmedia]

マイナンバー対応で考えること

　マイナンバー制度への対応をどう考えるべきか。細かい点は企業ごとに異なるだろうが、共通して認識しておきたい点を挙げてみたい。

　まず義務だからといって、決して軽くみてはいけない。個人情報保護法の時代は、5000人以上の個人情報を抱える企業が法律の対象だったが、これからは全ての企業がマイナンバー法の対象になる。マイナンバーは「特定個人情報」であり、どんな企業も法の下で個人情報を保護しなければならないからである。

　特に経営者は、「個人情報保護法はうちに関係ない」といった感覚のままではまずい。素人目線でも構わないが、自社の体制を再度チェックしてほしい。システム担当役員は現状の制約下で最善策と思われる提案を経営者に示すだろう。だが、経営者と役員でも視線は違ってくる。様々な視線でチェックしていただきたい。

　また、大手のシステムであっても疑ってみるべきだ。ミスがないに越したことはないが、所詮人間が作るシステムである。しかも短期間に膨大なデータ量を管理できるものとして作られる。「ミスはある」という前提で利用企業には暖かく見守るくらいの余裕があってもいい。

　先日、政府系システムの入札結果が公開され、読者の皆さんもご存じの大手ベンダーの連合体が受注した。信頼性には疑問を挟む関係者はまずいない。しかし、「バグはないか？」ということになると、「絶対はあり得ない」と当事者までもが発言するのがITの世界である。

　だから、万一の際に自前のシステムを疑うのは当然だが、システム管理者としては頭の片隅に、「もしかして他の理由？」ということも考慮しておいた方がいいだろう。とにかく、日本にとって初めての制度のために作られるシステムである。以前紹介したように類似制度は諸外国にあるが、ここまで個人に紐付けされた番号制度は、先進国では他に例がない。

　最後に、「自社だけは守る」という考えは間違っていないという点だ。トラブルがあっても、経営者も巻き込むようなレベルではなく、現場対応で済む軽度のトラブルに押しとどめる。そのためのシミュレーションなどを通じて必要があればいくらでもシステムを改善すべきだと思う。万全の努力をせず「何とかなる」という人がいるが、これでは「人事尽くして天命を待つ」ではなく単に無責任なだけだ。特にマイナンバー対応システムに関わるSEやプロジェクトマネージャー、コンサルタントは「本当にすべきことをやり尽くしたのか？」と自問自答し、心から「そう思う」と言えればOKである。

　マイナンバーへの対応では導入もさることながら、運用していくうちに様々な事案が発生するのは間違いない。常に先手を打って対応しないと、ちょっとした油断で大事件になりかねない要素を抱える。どんなシステムも1つ１つの確認が全てである。40年近くこのIT業界で生きてきた筆者が得た教訓でもある。読者の中でマイナンバー対応を担当されている方は、ぜひより良いものにしていただきたいと心から願わずにはいられない。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。