この5つを点検せよ！ 企業のマイナンバー対策、最終チェック：Weekly Memo（2/2 ページ）

[松岡功，ITmedia]

持続的な安全管理に向けた5つのチェック項目

　アビームでは、今回の調査結果から、2017年以降に迎えるマイナンバーの本格的な運用に向けて持続的な安全管理措置が行われているか、次の5つのチェック項目を挙げ、必要な対策を講じるべきだと提言している。

　1つ目は「情報漏えい事故などの不正を未然に防ぐ抑止力が働いているか」。マイナンバーなど、特定個人情報の取り扱いにおいては、セキュリティ事故が企業への信頼に与える影響は非常に大きい。ログなどのチェック結果を定期的に評価、改善し、その取り組みを周知徹底してセキュリティ事故の発生そのものを未然に防ぐ抑止力が働く仕組みを構築する必要がある。

　2つ目は「業務に必須となる運用ルールの策定ができているか」。業務運用ルールを作業単位で定めることは、特定個人情報の漏えいや紛失などを防ぐために最も有効な方法だ。運用ルールの策定のみならず、マイナンバーを適正に取り扱う方法や業務手順などを具体的に定めているか、点検と改善にも注力する必要がある。

　3つ目は「取り扱い担当者に定期的な教育を実施しているか」。人事異動や退職などにより、マイナンバーを取り扱う担当者の入れ替えが随時発生することが想定される。持続可能な安全管理を実現するためには、教育研修の実施ルールを整備し、かつ定期的に実施できる体制を構築することが重要である。

　4つ目は「地方拠点のマイナンバー取り扱い状況が管理できているか」。本社主管部門が教育・指導を行っているものの、実際に地方拠点でどのような措置を講じたのかを確認していない場合が散見される。本社主管部門が地方拠点の運用状況を定期的にチェックし、マイナンバー取り扱い状況を継続的に把握することは、地方拠点からの情報流出リスク防止につながる。

　5つ目は「グループ会社の安全管理措置に不備はないか」。地方拠点へのアプローチと同様に、グループ会社に対しても、組織的、人的、物理的、技術的といった安全管理措置の全てにわたり、本社が継続的に管理・監督や運用状況の点検を実施することが不可欠だ。本社とグループ会社が同じ仕組みで安全管理措置を行うように統制することで、グループ全体のセキュリティレベルを向上させることが可能となる。

　これら5つのチェック項目からなるアビームの提言は、いずれもこれからの企業のマイナンバー対策において重要なポイントである。

　マイナンバー制度は、施行後にシステムトラブルが発生し、通知書やカードの交付がもたついたこともあったが、企業側の対応については今のところ大きなトラブルは起きていない。とはいえ、マイナンバーはこれから本格的に活用されるだけに、アビームが指摘する安全管理上の懸念は肝に銘じておく必要があるだろう。施行から9カ月、あらためてしっかりと点検してもらいたい。