マイナンバーが漏えい? 銀行の現場で実際に見た落とし穴:萩原栄幸の情報セキュリティ相談室(2/3 ページ)
2016年1月のマイナンバー制度開始に向けた対応が急ピッチで進んでいる。筆者のコンサルティング先の銀行で不安が現実になりかねない“落とし穴”を見つけてしまった。
マイナンバー対応で忘れられたこと
それは、この連載でも何度かお伝えしている「万一の場合への対応」である。
もしこの体制で本番業務に突入し、万一のことが起きれば――バッチ処理のリカバリ対策とか、オンライン時における業務制限の対応とかといった“ミクロ”の観点ではなく、銀行全体がどう動くかという「コンティンジェンシープラン」が全く用意されていなかったのだ。
コンティンジェンシープランとは、「緊急時対応計画」とか「非常事態発生時対応計画」と呼ばれるものである。A銀行に、なぜコンティンジェンシープランがなかったのか。
その理由は簡単だ。BCP(事業継続計画)でも同じだが、非常時に必要とされることの備えが、ほとんどのケースにおいて「後付け」での対応になっている。つまり、システム全体の中で「動いて生きているプラン」として全く認識がされていないからである。
多忙なプロジェクトなら、その考え方自体が隅に追いやられ、そのうちに忘れ去られてしまう。もしくは時間や費用のほとんどをプロジェクト本体に費やしてしまい、外部業者が手を抜きやすい。資金量の小さな金融機関では、業者が役員会などの席上で堂々とこう発言している。
「システム本体は予定通りにリリースできます。バックアップシステムも確実に対応すべきでしたが、全体バランスからみて、今回は時期をずらしても大丈夫でしょう。監督官庁への対応はお任せください」――と。
後日になって本当に「生きているBCP」「生きているコンティンジェンシー」としての作業をするなら、まだ許される。しかし、そこでも大抵の場合は「おざなり」なモノになってしまうケースが後を絶たない。
現実的に機能するかどうか分からないBCPの優先度は「まだ低い」という経営的な判断があっても仕方はないだろう。しかしコンティンジェンシープランとは、すぐにでも発動しかねないリスクの高い事象に対する備えである。
関連記事
- マイナンバー対応の現場から――システムやセキュリティにおける混乱
マイナンバー制度への対応作業を始めてみると、思いも寄らなかった課題が次々に噴出してくる。いま実際に作業している現場で筆者が感じた注意点などについて紹介したい。 - マイナンバーのセキュリティ対策 面倒な事態を避けるには?
これから社内で取り扱っていくマイナンバーという“新しい情報”ではセキュリティが重要だといわれる。システム管理者や経営者はどう向き合えばいいのかを解説しよう。 - 安直なBCPにもの申す! 「だからいったじゃないですか、無理ですって……」
東日本大震災をきっかけに、あちらこちらでBCP(事業継続計画)の重要性が語られるようなったが、筆者は「今すぐのBCPは不要」と考える。BCPを急ぐことは大いに問題があるからだ。 - 緊急対応をスムーズにする「コンティンジェンシープラン」を作成しよう
コンティンジェンシープランとは、緊急時対応計画や非常事態発生時対応計画と呼ばれているものです。事業継続計画(BCP)を考える上でも、まず始めに着手すべき重要な取り組みになります。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.