マイナンバーが漏えい? 銀行の現場で実際に見た落とし穴:萩原栄幸の情報セキュリティ相談室(3/3 ページ)
2016年1月のマイナンバー制度開始に向けた対応が急ピッチで進んでいる。筆者のコンサルティング先の銀行で不安が現実になりかねない“落とし穴”を見つけてしまった。
目先にとらわれると……
いま様々な専門家が、「マイナンバーは政府が厳重に保管するので他のデータに比べ安心できる」とかおっしゃる。でも筆者は、マイナンバーが絶対に漏えいすると信じて疑わない。これまでの日本のセキュリティや諸外国の同様な制度の状況から鑑みても、マイナンバーの漏えいが時間の問題であることは明らかだ。
もちん批判だけをしても仕方がない。現実的には、漏えいした際に自社の被害を最小限にするため各サブシステムにおけるセキュリティの壁をより高くして強固なものにするとか、壁がなければ、リスクヘッジをどう行うのかといった備えを検討する。知恵を絞り、社内システムの構成やインタフェースといった条件を前もって正確に把握しておき、万一漏えいしたら、すぐに対応を開始できる組織体制にするといったことをすべきではないのだろうか。
「今まで情報漏えいなど起きていない」「とっくに検討済みだ」とかいう言葉はご法度である。マイナンバーという、情報セキュリティにとっては厄介な代物が新たに誕生したのだから、その様な従来の考え方は一度捨て、頭を空にしてもう一度備えを再構築すべきだと考える時期だと思う。「どんなツールを導入すればいいか」や「従業員からマイナンバー収集を漏れなくするには?」など目先のことだけを考えていると、万一の漏えい時に狼狽することになるだろう。そんな姿が目に浮かんでしまう。
特に企業が忘れがちなことは、「マスコミ対応」「非常事態で柔軟に対応できるシステム」「障害対策より漏えい検知システムの精度向上」などだが、本来の業務にはないものばかりだ。マイナンバー対応を行うのは当然ではあるが、こういう時にこそコンティンジェンシープランなどの備えを含めて、足元の状況をよく見ながら取り組むことが必要だと思う。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- マイナンバー対応の現場から――システムやセキュリティにおける混乱
マイナンバー制度への対応作業を始めてみると、思いも寄らなかった課題が次々に噴出してくる。いま実際に作業している現場で筆者が感じた注意点などについて紹介したい。 - マイナンバーのセキュリティ対策 面倒な事態を避けるには?
これから社内で取り扱っていくマイナンバーという“新しい情報”ではセキュリティが重要だといわれる。システム管理者や経営者はどう向き合えばいいのかを解説しよう。 - 安直なBCPにもの申す! 「だからいったじゃないですか、無理ですって……」
東日本大震災をきっかけに、あちらこちらでBCP(事業継続計画)の重要性が語られるようなったが、筆者は「今すぐのBCPは不要」と考える。BCPを急ぐことは大いに問題があるからだ。 - 緊急対応をスムーズにする「コンティンジェンシープラン」を作成しよう
コンティンジェンシープランとは、緊急時対応計画や非常事態発生時対応計画と呼ばれているものです。事業継続計画(BCP)を考える上でも、まず始めに着手すべき重要な取り組みになります。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.