いま様々な専門家が、「マイナンバーは政府が厳重に保管するので他のデータに比べ安心できる」とかおっしゃる。でも筆者は、マイナンバーが絶対に漏えいすると信じて疑わない。これまでの日本のセキュリティや諸外国の同様な制度の状況から鑑みても、マイナンバーの漏えいが時間の問題であることは明らかだ。
もちん批判だけをしても仕方がない。現実的には、漏えいした際に自社の被害を最小限にするため各サブシステムにおけるセキュリティの壁をより高くして強固なものにするとか、壁がなければ、リスクヘッジをどう行うのかといった備えを検討する。知恵を絞り、社内システムの構成やインタフェースといった条件を前もって正確に把握しておき、万一漏えいしたら、すぐに対応を開始できる組織体制にするといったことをすべきではないのだろうか。
「今まで情報漏えいなど起きていない」「とっくに検討済みだ」とかいう言葉はご法度である。マイナンバーという、情報セキュリティにとっては厄介な代物が新たに誕生したのだから、その様な従来の考え方は一度捨て、頭を空にしてもう一度備えを再構築すべきだと考える時期だと思う。「どんなツールを導入すればいいか」や「従業員からマイナンバー収集を漏れなくするには?」など目先のことだけを考えていると、万一の漏えい時に狼狽することになるだろう。そんな姿が目に浮かんでしまう。
特に企業が忘れがちなことは、「マスコミ対応」「非常事態で柔軟に対応できるシステム」「障害対策より漏えい検知システムの精度向上」などだが、本来の業務にはないものばかりだ。マイナンバー対応を行うのは当然ではあるが、こういう時にこそコンティンジェンシープランなどの備えを含めて、足元の状況をよく見ながら取り組むことが必要だと思う。
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.