「マイナンバー対応、大丈夫？」関係者に聞く、企業のいま：特集 情シスが率先して実施する「企業のマイナンバー対応」（3/3 ページ）

[岡崎勝己，ITmedia]

企業規模を問わず、「仕組みと人への配慮」が不可欠

　対して、組織規模が小さいならば、業務把握の絶対数や手間は軽減されるかもしれない。それより苦慮しそうなのは「セキュリティ対策」である。

　マイナンバーの管理で企業に求められるセキュリティ水準は、個人情報保護法で要求されるレベルとほぼ同じと言える。これまでの個人情報保護法は、保有する個人情報が5000件以下の事業者には情報の取り扱いや安全管理措置が義務付けられていなかったので、特別な対策をしていなかった企業も多い。対してマイナンバー制度は、あらゆる企業に等しく、マイナンバーを含む特定個人情報の取り扱いに関する従業員の監督と安全管理措置が義務付けられる。つまり、これまで対策をする義務は免除されていた中小企業も、個人情報管理の仕組みを新たに整備する必要に迫られている。

　その道のりは、想像以上に険しいはずだ。「特定個人情報の適正な取扱いに関するガイドラインは公表されているものの、何をどこまでどう行うべきか──の具体例については一部を除いて明示されておらず、理解しにくい」との声が多く聞かれ、そのことは現段階での制度対応を巡る混乱の一因となっている。安全管理措置についてもそれは似ており、日本経済団体連合会（経団連）もより分かりやすい説明を政府に求めている。

　こうした中で、中小企業はどう対応を進めるべきか。内閣官房の中小企業向けマイナンバー制度要約資料「中小企業向け ポイント資料（入門編）」をふまえつつ、この点についてデジタルアーツの松森氏は次のように述べる。

「マイナンバー対応　中小企業向けポイント資料（入門編）」

　「ガイドラインの意図を見誤ないことが肝要。最終的な狙いは“マイナンバー漏えいによる被害を防ぐこと”にあります。そのことを念頭に、対策ツールなどの見極めを推し進めます」（松森氏）

　例えば同社のセキュリティソフト「Final Code」はファイルを暗号化し、復号化のためのパスワードを同社のサーバで管理する仕組みでファイルを管理する。パスワード（鍵）を一元管理するため、仮にファイル単体が持ち出されたとしてもそもそも暗号化されており、リモート操作で消すことも可能なため、情報自体の漏えいリスクは劇的に低減される。使い方もシンプルで、ITに詳しくない社員でも比較的容易に対策できる。

---

　個人情報保護法の施行から約10年が経過した。振り返れば、大企業であっても個人情報の漏えい事件が幾度も発生している。つい先日（2015年6月）、制度開始後のマイナンバー利用機関の1つである日本年金機構がウイルスメールによる不正アクセスを受け、年金個人情報約125万件が漏えいする事件も起こった。「あまりにもずさん」「マイナンバー制度は大丈夫か」との懸念が噴出しているが、このリスクは制度開始後、企業にもそのまま当てはまることになる。

　「マイナンバーの暗号化や、社内外のどちらで管理すべきかで悩む大企業も存在する。それらのセキュリティの仕組みも確かに大切だが、データを扱うのは最終的に人だ。過失による漏えいを食い止めるためにも、社員教育などを通じて改めてタガを締めることが必要」とNTTデータの山田氏は強調する。

　仕組みと社員の意識の両面で、セキュリティ対策の高度化を図ることが企業規模を問わず求められているわけである。

（つづく）

　次回は「その後、どう考えるべきか」を考察します。

特集まとめ読み特別冊子 プレゼント応募フォーム

特集「情シスが率先して実施する「企業のマイナンバー対応」対策指南」の特集記事をまとめた電子冊子（PDF）を、特集終了後にプレゼントいたします。

＜＜＜ 応募はこちらから