企業のマイナンバー対策
はコストでなく“攻め”の投資
もちろんマイナンバー制度の安心・安全に関わる問題は、システムだけを完全にすれば解決するというものではない。
やはり、官公庁や民間企業など、全ての利用者がマイナンバーを厳重に取り扱う仕組みを整え、危機管理意識を共有するといった体制づくりが不可欠だ。
特定個人情報保護委員会では、そのために事業者向け、行政機関等向けの「特定個人情報保護ガイドライン」を策定した。事業者向けについては、大きく「利用規制」「提供規制」「安全管理措置」「収集・保管規制、廃棄」の四つの厳格なルール群が設けられている。
例えば、すでにご承知の方も多いと思うが、事業者においては、特定個人情報を取り扱う事務取扱担当者を明確にしなければならないということがガイドラインに定められている。
あらためて「特定個人情報とは何か?」といえば、マイナンバーにひも付く全ての個人情報がそれに当たる。仮に、既存の人事・給与や労務管理情報などにマイナンバーがひも付いた場合、それらの情報を取り扱うのは事務取扱担当者のみとすることが適切だ。
マイナンバーとその他の情報をシステム上でいかに区分けするかといった技術的な課題を解決し、業務プロセスやルールを見直す必要が出てくるだろう。
また、事務取扱担当者を明確化したとしても、そのIDやパスワードが盗用されてマイナンバーが流出する危険がある。必要に応じて、より信頼性の高い電子署名などの認証システムを検討することもお勧めしたい。
マイナンバー制度の開始は目前に迫っているが、大企業については、かなり制度やシステムの対応が進んでいるように見受けられる。一方、中堅・中小企業は、危機意識やシステム人材の不足などから十分に対応できていないところもあるようだ。
社内のリソースやインフラが整っていないのであれば、クラウドサービスを利用する方法もあるだろう。
マイナンバー対策を進めることは、全体的な情報セキュリティ体制の底上げにもつながる。
対策費用をコストと考えず、企業の信頼性を高める“攻め”の投資と考えて取り組んでみることも大切ではないだろうか。