2015/4/14
「目からウロコのレイヤーズ経営通信」第35号/御社ITのマイナンバー対応は大丈夫ですか?-3
「マイナンバー対応におけるセキュリティの十分性確保について」
前回のメルマガでは、「御社のIT大丈夫?マイナンバー対応2」と題し、「マイナンバー対応は、パッケージ製品をアップグレードすればよいと安心していると、アップグレードできない事態も!」という内容をお届けしました。最終回となる今回は、セキュリティの十分性確保についてお話しします。
【セキュリティはどこまで追求すればよいだろう?】
マイナンバーは、特A級の個人情報です。前回、前々回のメルマガで述べた機能面のアップグレードやデータの移行に加えて、マイナンバー関連システムから情報漏洩や不正利用が起こらないよう、セキュリティ対処能力の向上が必要かもしれません。
セキュリティ対処能力は果てしなく高度にできますが、実際はセキュリティリスクの発生確率と損害の大きさに応じて、各社独自に能力レベルを定め、「セキュリティポリシー」や「情報セキュリティガイドライン」などに文書化のうえ、従業員と外部顧客へ周知しているはずです。まずは、マイナンバー導入に伴って現在のセキュリティポリシー等を見直す必要がないか、検討が必要でしょう。
続いて、セキュリティポリシー等に基づいたIT機能上の対処が必要になります。具体的にはマイナンバー関連システムへのアクセス権設定、内部統制の一環としてのアクセスログ監視、ネットワーク通信の暗号化、マイナンバーを含む情報のダウンロード禁止、プリントアウトの防止、ログイン認証の高度化等が考えられます。マイナンバー関連システムを自前で保持せず、アウトソーシングしている場合も外注先におけるセキュリティの十分性を確認しなければなりません。必要に応じて契約の見直し等を行っておきましょう。
以上、3回にわたりマイナンバーのIT対応に関する留意点をお伝えしました。
- IT対応にあたっては、「テスト」と「データ移行」の期間を十分に確保すること
- パッケージのマイナンバー用アップグレードの適用可能性を早目に調査すること
- セキュリティ事故が起きないよう、セキュリティ対処能力の十分性を検証すること
2016年1月までにマイナンバー対応を確実に終了するために、早めの対処をお勧めします。
株式会社レイヤーズ・コンサルティング
IT事業部
マネージングディレクター
加藤 道隆