マイナンバーが届いたら確認すること：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

企業側の受け入れ体制は？

　ここでは「マイナンバーの管理者や管理部門、管理体制を決めていますか？」といった基本的な内容は割愛し、見落としがちな点を挙げてみたい。

1.従業員とその家族のマイナンバーの入手方法について、セキュリティホールが本当に存在していないか再確認する。犯罪者の視点で「自分が犯人なら、どうやって最も効率的にマイナンバーを盗むのか」と見直してはいかがだろうか。

2.番号収集システムが万一トラブルを起こした場合のシステムリカバリ手順や、その際に一時的にマイナンバーのデータを格納するファイルの取り扱い、事後における完全消去や整合性チェックプログラムの稼働確認を済ませているだろうか。

3.基本的な内部犯罪や外部攻撃での情報漏えいにおいて最も重要なのは、「改ざんされないログを効率良く収集すること」と「チェックプログラムの品質およびその管理」にある。この部分だけでも完全に機能しているのか再確認をしておきたい。特にベンダーやSIerに任せきりしている企業なら自社で厳しくチェックすること。

4.手作業で運用している部分がある場合なら、その部分をダブルチェックする方法や、作業の整合性をチェックする部分だけでも検証すること。

5.マイナンバーのセキュリティ対策が、「絶対に漏えいしない（と思われる）対策」になってはいないだろうか。そうなると万一の場合の対応が全て想定外の結果になり、外部（特にマスコミ）に醜態を晒すことになるだろう。確実な対応をするには、「漏れる」ことを想定の中に入れる。漏えいした場合の社内体制について、実現可能かつ具体性のある「コンティンジェンシープラン」を構築しておく。その際はできる限り社員だけ（コンサルタントはOK）でトレースしておこう。

6.従業員や役員への教育でマイナンバーの重要性を徹底的に理解してもらうこと。“仏作って魂入れず”ではいけない。教育での重要なポイントは次の通りだ。

• マイナンバーとは何か
• 他人にマイナンバーを教えてはいけない理由
• マイナンバーを必ず会社に報告する理由
• 自分だけではなく家族のマイナンバーも必ず会社に報告する理由
• マイナンバーを社内システムに取り込むための具体的な手順と禁止行為

　特に、直近で退職する場合や家族構成に変更が生じた場合、離婚した場合などについては、誰でもが理解できるように平易に解説した方がいい。マイナンバーが実際に運用される2016年1月以降に、源泉徴収票や支払調書、扶養家族の問題が生じかねない。「何がどう変わるのか」「どう対応すべきか」について、きちんとその理由と回答を用意して説明する。

7.マイナンバーの詐欺から従業員や家族を極力守れるようにする。今後増えるかもしれないメールやLINE、電話などを使った詐欺に対して、どのように立ち向かうべきかを一般論や抽象論ではなく具体的に解説する。

　ここまでに挙げた内容は小冊子にして、従業員や家族に配布しておきたい。従業員の家族向けに講習会を開くことも検討していただきたい。