マイナンバーが漏えい？ 銀行の現場で実際に見た落とし穴：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

マイナンバー対応で忘れられたこと

　それは、この連載でも何度かお伝えしている「万一の場合への対応」である。

　もしこの体制で本番業務に突入し、万一のことが起きれば――バッチ処理のリカバリ対策とか、オンライン時における業務制限の対応とかといった“ミクロ”の観点ではなく、銀行全体がどう動くかという「コンティンジェンシープラン」が全く用意されていなかったのだ。

　コンティンジェンシープランとは、「緊急時対応計画」とか「非常事態発生時対応計画」と呼ばれるものである。A銀行に、なぜコンティンジェンシープランがなかったのか。

　その理由は簡単だ。BCP（事業継続計画）でも同じだが、非常時に必要とされることの備えが、ほとんどのケースにおいて「後付け」での対応になっている。つまり、システム全体の中で「動いて生きているプラン」として全く認識がされていないからである。

　多忙なプロジェクトなら、その考え方自体が隅に追いやられ、そのうちに忘れ去られてしまう。もしくは時間や費用のほとんどをプロジェクト本体に費やしてしまい、外部業者が手を抜きやすい。資金量の小さな金融機関では、業者が役員会などの席上で堂々とこう発言している。

　「システム本体は予定通りにリリースできます。バックアップシステムも確実に対応すべきでしたが、全体バランスからみて、今回は時期をずらしても大丈夫でしょう。監督官庁への対応はお任せください」――と。

　後日になって本当に「生きているBCP」「生きているコンティンジェンシー」としての作業をするなら、まだ許される。しかし、そこでも大抵の場合は「おざなり」なモノになってしまうケースが後を絶たない。

　現実的に機能するかどうか分からないBCPの優先度は「まだ低い」という経営的な判断があっても仕方はないだろう。しかしコンティンジェンシープランとは、すぐにでも発動しかねないリスクの高い事象に対する備えである。