特集 情シス事情を知る
マイナンバーの情報セキュリティ第3回
マイナンバーの可用性
2016年9月
マイナンバーの可用性
今回はマイナンバーの可用性の喪失(業務停止)を招かないためのポイントをまとめました。マイナンバーはそれ単体で管理するというよりは社員情報等と紐づけて管理します。それゆえ個人情報取扱事業者ではない中小規模事業者にも安全管理措置が義務づけられたと言えます。間もなく施行予定の個人情報保護法では個人情報取扱事業者の適用除外が削除されましたので、こうした事業者では個人情報の適正な取扱いが必要になります。
規程類を形骸化させないために
情報セキュリティは情報の機密性・完全性・可用性を維持することです。取扱規程の雛形をそのまま自社に適用すると運用が機能しなくなるのは、こうした防御策を機械的に導入して終わりにしてしまうからです。
マイナンバーに限らず個人情報の可用性を維持するのに欠かせないのが教育、とりわけ従業員の意識改革です。昨年来、マイナンバー対応のためとはいえ、その取扱いについて社内で厳格なルールを作り運用を始めたことで、特定個人情報の取扱いについて従業員の意識改革が進んだのではないでしょうか。
マイナンバー対策は個人情報保護法が改正されたことと合わせて、個人情報の取扱いについても社内の意識改革をする絶好の好機と前向きにとらえましょう。
業務フローからリスク分析を行う
プライバシーマーク(Pマーク)を取得するため個人情報取扱規程を初めて作成する場合、業務フローから個人情報を特定→リスク分析→対応策決定→規程に反映という流れを取ります。業務フローに従って個人情報を特定するメリットは、特定漏れがチェックしやすい、運用ルールを可視化できる、運用点検や内部監査のチェックリストに応用できるからです。
情報は生ものですから、日々の運用の中でライフサイクルがあります。マイナンバーも取得から保管・廃棄に至るまで業務フローがあります。漏洩リスク等はこうした局面により異なるため、リスク評価や対策を動的に検討する必要があります。
業務フローで教育・運用点検も可能に
マイナンバーの業務フローからチェックすべきポイントを可視化した例示が下図です。
年末調整におけるマイナンバーの取扱い業務フロー(例示)
(画像をクリックすると拡大表示します)
マイナンバーのガイドラインでは事務取扱担当者への教育と監督を行うように人的安全管理措置が定められています。業務フローは教育テキストにも利用できます。各フローの運用手順の一部に空欄を設けて問題を作ることもできますし、監査チェックリストの作成や担当者変更に伴う業務引継の際にも利用できます。
このように業務フローを可視化しておくことで教育や監査に活用できるとともに、業務の見直しをする際にも便利です。実際、業務フローを作ると他部署との業務重複や複製の無駄を発見でき、社内コミュニケーションがよくなった企業もあります。
情報セキュリティ継続計画の実施・評価
情報の可用性が損なわれるとは、すなわち業務停止のリスクが生じるということです。最近では地震による建物崩壊等、物理的な損壊事故も発生していることから、事業継続計画の見直しをしている企業も多くあります。
ある社会保険労務士事務所のケースです。今後、マイナンバーの取扱いが増えていくことが予想されるためISMSの認証取得を始めました。その際、情報セキュリティ継続計画(IT事故等が発生しても情報セキュリティを継続させるため計画※事業継続計画の一部)を検討していく中で主力業務がクラウドサービスを利用していることから、ネットワークが使えなくなった場合を想定した対策を検討しました。この事務所では複数拠点を有しているので、他拠点に代替業務を行ってもらう、担当者が他拠点に赴き業務を継続する、またモバイル通信でネットワークにアクセスするといった対策を実験しました。
ある教育機関では、マイナンバー対応にバージョンアップした社内システムの本格稼働につき、改めて業務フローに基づきリスクを洗い出しました。するとネットワークが使えなくなった場合の対策を想定していないことがわかりました。そこでマイナンバー専用の暗号化できるUSBメモリーに特定個人情報をバックアップし、対応ソフトをインストールした災害時用のノートPCを用意しました。そのため従来から多数取り扱ってきた受講者情報や講師情報の漏洩といった緊急時における対応策を策定中です。
新たなリスクに備える
マイナンバーに関する情報セキュリティ継続計画について、災害時における可用性を想定して検討する企業は増えています。しかし、情報ネットワークに依存した多くの企業にとって可用性が損なわれるリスクは災害に留まりません。
紙媒体よりも電子媒体での運用や保管を中心に行っている場合、昨今の新手のサイバー攻撃に対する防御が不十分だと特定個人情報以外の個人情報も含めて漏洩リスクを検討しなければなりません。特定個人情報を情報システム等で取扱う場合は、通常の社外ネットワークや個人情報を扱うネットワーク等とは分離したほうがよいでしょう。
最近恐れられているWebの脆弱性を狙った攻撃や標的型メールによる情報漏洩は、気づかないうちに自社サイトを踏み台にされ加害者になっていたり被害を受けていたりすることがあります。そのためWebの脆弱性診断や標的型メール対策の訓練を行う企業も増えてきました。
継続的改善に向けたリーダーシップがカギ
先の社会保険労務士事務所では、情報セキュリティ事業継続計画に加えて職員アンケートを取りISMSの有効性評価計画を策定中です。アンケート結果によると共通認識として「正確かつ迅速な業務対応」と「最新情報の提供」が多く見受けられました。その一方で「専門知識の勉強時間が取れない」や「迅速な相談に対応しきれていない」といった声もありました。
マイナンバーを含む企業の情報管理のマネンジメントシステムが機能するためには、日々の業務で従業員が感じていることを拾い上げる仕組みと、それを支援するリーダーシップがカギとなります。マイナンバーの多くは従業員情報です。顧客情報と同様に漏洩があると会社への信頼感が損なわれ、優秀な人材を獲得できないリスクもあることを認識して、万全のセキュリティ体制を整えてください。
マイナンバーの情報セキュリティ
筆者プロフィール
伊地知 克哉(いじち かつや)
証券会社での営業、税理士事務所での法人決算や確定申告業務、経営コンサルタント会社でのソフトウェアメーカーの開発・販売などを経験し2000年に中小企業診断士として独立。
税理士事務所での経験を活かした事業計画書やバランススコアカード作成のセミナーやコンサルティングを行う。その後、事業承継対策や相続対策の支援を行うため行政書士の資格も取得。税理士や司法書士との連携によるコンサルティングも手掛ける。
2014年からは株式会社バルクに入社し、プライバシーマークやISMSの取得・更新支援のコンサルティング業務を担当する。最近では、マイナンバー対策のセミナーや著作も手掛ける。