マイナンバー対応の現場から――システムやセキュリティにおける混乱：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

マイナンバー制度への対応作業を始めてみると、思いも寄らなかった課題が次々に噴出してくる。いま実際に作業している現場で筆者が感じた注意点などについて紹介したい。

[萩原栄幸，ITmedia]

システム変更の前に……

　関東地方にある中堅企業A社は、2014年4月からマイナンバー制度における企業内での取り組みについて検討を重ねている。その会議での出来事だ。

　同社でマイナンバー制度導入プロジェクトの立ち上げなどが決まり、最初の会合で筆者は助言を求められた。今までに提供された政府系の資料やベンダーの資料を基に、まずマイナンバー制度の概要について復習を兼ねながら再度解説し、その上でどこまでの範囲に影響するのか、そして、対応手段について全体のバランスや、特に監督官庁から見た場合に問題となりそうな対応について、次のように切り分けしてほしいと指示した。

1. 対応なし（本来は対応した方が望ましいが、今回は緊急対応のみ優先させる）
2. 手作業
3. システム変更
4. サブシステムの追加
5. システムの更改：中規模（原則として単体システムだけ考慮すれば良い作業）
6. システムの更改：複数システムを跨ぐ大規模な更改と周辺システムの変更や追加、更改

　また、最近よくSIerから提案されるマイナンバーの収集、管理、帳票印刷などのトータルパッケージシステムは、対応上のリスクが高い部分に適用することで、企業としてはこの部分だけを切り離して議論できるようになる。この方法は4と5の中間にあたる対応といえる。

　詳しくはお伝えできないが、この他にも以下のような対応が必要になっている。

1. 従業員や経営側へのマイナンバー制度の教育とシステム管理者へのマイナンバーの取り扱い規定の教育
2. 内部統制の変更（特にマイナンバー取り扱い規定と組織の変更）
3. 帳票の変更（特に法定帳簿とそれに準じた帳票）
4. データベース構造やファイルでの「マイナンバー」における個別のセキュリティ対策、強制的なマイナンバー変更手続きなどのシステム、手作業による組み込みの実現方法
5. 社内全体のセキュリティ強化策、内部犯罪防止対策（原則としてネットワーク系のトランザクションには9割以上影響がなかった）

　業種・業態、規模、カルチャー、既存システムの構造、その他の環境などの違いを考えれば、マイナンバー制度への対応は、100社あれば100通りだろう。もし現段階でも対応について「なんとかなる」と安易に考えているなら、後で大きなしっぺ返しを受けるはずだ。1日でも早い取り組みが必須である。

　特に、全てを手作業で対応するというのは零細企業の一部なら可能かもしれないが、中堅企業以上では到底できない。影響のあるシステムを拾い出したところ、このA社では結局70システムを超え、予想以上の数に驚いた。

　こうした対応の中で、一般的に内部統制の仕組みは、ある程度変更せざるを得ない。また、マイナンバーは原則として個人に通知されるので、民間企業ではまず従業員や役員のマイナンバーを速やかに、そして、正確に収集しないといけない。そのためには、セキュリティへの不安を極力軽減させた上で自社に合ったシステムをどう安価で確実に作るかが課題になるだろう。筆者が担当しているA社も相当に議論を重ねて、対応の大枠がやっと決まったのは11月に入ってからだった。

　ただ、マイナンバーそのものをどうやって保護していくのかは、悩ましい点だ。「データベースに項目を1つ追加するのか？」「別の種類のデータベースやファイルを作成して、個人特定につながらないように工夫を加えて保管すべきか？」「暗号化はどうするか？」「文字情報ではなく画像情報として保管するほうがいいのか？」――極論すると、データとしては保持をしたくない。そこで、あるロジックに基づいて社内とクラウドを有機的に結合させるとか、その都度本人にマイナンバーを入力させるといった案も出た。

　企業の中には、上述したSIerのパッケージに丸投げしてしまえば安心だと考えるところがあるかもしれない。確かに対応面では楽になるかもしれないが、それは全てのマイナンバー関連業務（番号収集・管理・印刷など）を外注できるといったケースだけであり、実際には例外が発生する。どこまで活用できるのかを見極めることが非常に重要となる。

　既に多くの企業が、自社で対応する範囲やSIerのパッケージを使うような範囲の切り分けについて検討や決定をしていると思われるが、万一マイナンバーと個人情報が同時に漏えいした場合や、マイナンバーだけが漏えいした場合をよく考えて慎重にシステムや運用方法など設計してほしい。そもそもマイナンバーのみ漏えいするだけでも極めてまずい事態になってしまう。