マイナンバーが届いたら確認すること:萩原栄幸の情報セキュリティ相談室(2/3 ページ)
10月5日からマイナンバーの通知がスタートし、間もなくお手元に届き始めるだろう。まず確認すべきチェックポイントを個人、企業それぞれの視点で紹介する。
企業側の受け入れ体制は?
ここでは「マイナンバーの管理者や管理部門、管理体制を決めていますか?」といった基本的な内容は割愛し、見落としがちな点を挙げてみたい。
1.従業員とその家族のマイナンバーの入手方法について、セキュリティホールが本当に存在していないか再確認する。犯罪者の視点で「自分が犯人なら、どうやって最も効率的にマイナンバーを盗むのか」と見直してはいかがだろうか。
2.番号収集システムが万一トラブルを起こした場合のシステムリカバリ手順や、その際に一時的にマイナンバーのデータを格納するファイルの取り扱い、事後における完全消去や整合性チェックプログラムの稼働確認を済ませているだろうか。
3.基本的な内部犯罪や外部攻撃での情報漏えいにおいて最も重要なのは、「改ざんされないログを効率良く収集すること」と「チェックプログラムの品質およびその管理」にある。この部分だけでも完全に機能しているのか再確認をしておきたい。特にベンダーやSIerに任せきりしている企業なら自社で厳しくチェックすること。
4.手作業で運用している部分がある場合なら、その部分をダブルチェックする方法や、作業の整合性をチェックする部分だけでも検証すること。
5.マイナンバーのセキュリティ対策が、「絶対に漏えいしない(と思われる)対策」になってはいないだろうか。そうなると万一の場合の対応が全て想定外の結果になり、外部(特にマスコミ)に醜態を晒すことになるだろう。確実な対応をするには、「漏れる」ことを想定の中に入れる。漏えいした場合の社内体制について、実現可能かつ具体性のある「コンティンジェンシープラン」を構築しておく。その際はできる限り社員だけ(コンサルタントはOK)でトレースしておこう。
6.従業員や役員への教育でマイナンバーの重要性を徹底的に理解してもらうこと。“仏作って魂入れず”ではいけない。教育での重要なポイントは次の通りだ。
- マイナンバーとは何か
- 他人にマイナンバーを教えてはいけない理由
- マイナンバーを必ず会社に報告する理由
- 自分だけではなく家族のマイナンバーも必ず会社に報告する理由
- マイナンバーを社内システムに取り込むための具体的な手順と禁止行為
特に、直近で退職する場合や家族構成に変更が生じた場合、離婚した場合などについては、誰でもが理解できるように平易に解説した方がいい。マイナンバーが実際に運用される2016年1月以降に、源泉徴収票や支払調書、扶養家族の問題が生じかねない。「何がどう変わるのか」「どう対応すべきか」について、きちんとその理由と回答を用意して説明する。
7.マイナンバーの詐欺から従業員や家族を極力守れるようにする。今後増えるかもしれないメールやLINE、電話などを使った詐欺に対して、どのように立ち向かうべきかを一般論や抽象論ではなく具体的に解説する。
ここまでに挙げた内容は小冊子にして、従業員や家族に配布しておきたい。従業員の家族向けに講習会を開くことも検討していただきたい。
関連記事
- マイナンバーと振る舞い検知システムを組み合わせると……
様々なデータをつなげて分析してみると、いろいろなことが分かる。もしマイナンバーと様々な情報がつながるようになれば、どんなことが分かるのだろうか。 - マイナンバーのセキュリティ対策 面倒な事態を避けるには?
これから社内で取り扱っていくマイナンバーという“新しい情報”ではセキュリティが重要だといわれる。システム管理者や経営者はどう向き合えばいいのかを解説しよう。 - マイナンバー対応の現場から――システムやセキュリティにおける混乱
マイナンバー制度への対応作業を始めてみると、思いも寄らなかった課題が次々に噴出してくる。いま実際に作業している現場で筆者が感じた注意点などについて紹介したい。 - 転勤や退職で知っておくべき情報セキュリティ
多くの企業で年度末への対応と新年度への準備が始まり、転勤や退職を控えている人も少なくない。人事異動や退職で気をつけるべきセキュリティとは?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.