マイナンバーしっかり対策

ようやくメリットもデメリットも話題になってきたマイナンバー。一昨年から啓蒙活動を続け、既にマイナンバーセミナー講師約200回、参加者1万5千人を超える実績を持つコンサルタントが、マイナンバーの取扱いで気を付けるべきことを解説していきます。

また予定変更なのでは?

マイナンバーカードの発行枚数が636万枚になった

との情報が流れていました。


まだ5%かー、という感想も

もう5%かー、という感想もあるでしょう。


だけど、ちょっと待ってほしい。


またスケジュールがヤバくね?


5月末。

総務省は各自治体に発行を急ぐよう、お達しを出しました。


6月末。

各自治体が交付計画を発表しました。

ほとんどは8月までに配布を完了し、一部遅れているところだけ

11月中になる自治体がある、と。


その時点で、申請が1043万枚。交付済が465万枚。


そして、7月半ば。636万枚。

つまり1か月半で発行できた枚数、173万枚。


・・・これ、全部おしなべたとしても

あと3か月は必要だってことですよね?


それも5月末までに申請された分。

それ以降の数は含まれてません。


6月に出したスケジュール、もう完全にアウトですやん。


もう、誤魔化さないで

マイナンバーカード回収してやり直しましょうよ。


マイナンバーカードなんて無くたって

マイナンバー制度の法律上の運用には何ら影響ないんですから。

スキミングの可能性について

さて、マイナンバーカード裏面のQRコードに

サラのマイナンバーカードが入っているという

衝撃的な話がありましたが。


ここで、一つ意識すべきことが出ちゃいました。


スキミングです。


ATMなんかのカード挿入口に読み取り装置を付けて

カードの内容を読んで悪用しようというアレです。


マイナンバーカードの中のデータは暗号化されてるし

非接触型も使えるから、裏面の番号さえ隠しておけば

スキミングのやりようも無いと思ってたんですが、

QRコードがむき出しなら、

証明書発行時にスキミングできちゃいそうですね。


最近のスキミングは高度化していて

なかなか気づきにくいものも出てきています。


まあ、マイナンバーはキャッシュカードやクレジットカードとは違い

直接的にお金になるものではないので、

これらに比べたら犯罪者側の優先度は低いと思います。


でも、スキミングは捕まりにくい犯罪なので

技術さえあれば、やるヤツ出そうですね。


何のためのICチップだったのか。。。

何のためのカードケースだったのか。。。


当初設計していた人たちは、

できるだけセキュリティの確保考えて

一生懸命仕様を決めていたのに。


思いつきで付け加える上の方の人たちが

どんどんダメにしていく。


。。。よく見かけることではありますが。

ガイドラインQ&A更新

金曜日(6/23)にマイナンバーガイドラインのQ&Aが更新されました。


話題のPC保守サービスの件です。

PCメンテナンスは


委託に該当するか否かの話が具体的に書かれています。

内容としては

3-13

  クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は

  課されませんが、クラウドサービスを利用する事業者は、

  自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にある

  データについて、適切な安全管理措置を講ずる必要があります。


の次、

3-14に委託ではないと見なされる[典型的な例]が挙げられています。


  ・保守サービスの作業中に個人番号が閲覧可能となる場合であっても、

   個人番号の収集(画面上に表示された個人番号を書き取ること、

   プリントアウトすること等をいう。以下、この項において同じ。)

   を防止するための措置が講じられている場合


  ・不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために

   初期化する場合等であって、機器等に保存されている個人番号を

   その内容に含む電子データを取り扱わないことが契約等で明確であり、

   取扱いを防止するためのアクセス制御等の措置が講じられている場合


  ・不具合の生じたソフトウェアの解析をするためにメモリダンプの

   解析をする場合であって、メモリダンプ内の個人番号を

   その内容に含む電子データを再現しないこと等が契約等で明確であり、

   再現等を防止するための措置が講じられている場合


  ・個人番号をその内容に含む電子データのバックアップの取得又は復元を

   行う場合であって、バックアップデータ内の当該電子データを

   取り扱わないことが契約等で明確であり、取扱いを防止するための

   アクセス制御等の措置が講じられている場合


これらがクリアされてなければ「委託」ということなのですよ。


全部クリアできるクラウドサービスがあれば言うてみい。(笑)

「アクセス制御」とは物理的アクセス制御も含みますからね?


でも、最大の問題なのは、クラウド業者が「委託でない」と言い張って

それを預ける側が認めて預けちゃった場合、

上の典型的な例を守らせていると、預ける側が「確認したうえで」認めたことになるので

預ける側の監督責任が問われることです。


ここが問題なのですよ。


知らずに酷いサービスに預けて、何かあった場合

「なんであんなサービスに預けたんだ」

と言われても、全て預けた側の責任になっちゃうんです。


形式的に委託なのに、「委託じゃない」って話を信じたのは

あくまで預けた側の責任。

ここなのです。


「よくわかんないけど任せた」は通用しません。

だからこそ、よく吟味しなければいけないんです。


早く気づいて、怪しいサービスから撤退してください。