マイナンバーしっかり対策

ようやくメリットもデメリットも話題になってきたマイナンバー。一昨年から啓蒙活動を続け、既にマイナンバーセミナー講師約200回、参加者1万5千人を超える実績を持つコンサルタントが、マイナンバーの取扱いで気を付けるべきことを解説していきます。

マイナンバーのクラウド利用

情報セキュリティEXPOに行ってきました。


あちこちの看板に「マイナンバー」の文字が踊ります。


ただ、
「本当に法律とガイドライン読んでるのか?」
と言いたくなるような商品も目白押しです。


特に気になるのが
クラウドで預かりますよーというサービス。


これ、正直なところ、
番号法とガイドラインに準拠してないサービスが多すぎます。



まず、社外にマイナンバーを保管するのであれば、
番号法第11条により、自社で要求されることと
同様のことができているか、委託元の監督責任が問われます。


つまり、どこに自社のマイナンバーが保管されていて
誰がいつアクセスしたかの記録が残されていて
それを定期的にチェックしていて
データ消去も確実に行われていることの
「監督」をしなきゃいけない。


物理的なハードウェアがどこにあるか委託元に開示して
必要があれば、委託元はそこを監査できなきゃいかんのです。


これ、本当にクリアできてるんでしょうか?



さらにですね。


マイナンバーが保存されたハードウェアがトラブって、
業者に修理を依頼した場合。
これも「再委託」に該当するのですよ。
(ガイドラインのパブリックコメント№46)


社内でメンテナンスを完結できないと、委託元の承諾が必要です。



さらにさらに。


「委託」と「提供」をごっちゃにしているケースも見られます。


マイナンバーを扱う“業務”を外に出すのが「委託」。
マイナンバーを他者が見ることができるようにするのが「提供」。


そして、「提供」には本人の同意が必要です。


再委託は委託元の承諾があればいい、ってのを元に
マイナンバーデータを本人の同意無しに再委託しちゃったら
番号法第19条「提供の制限」に引っ掛かるんですよ。


つまり、クラウドにマイナンバーを保管した場合、
ハードウェアメンテナンスに、関係会社を使うには
マイナンバー所有者本人の同意が要ります。


マイナンバーの保存されたハードウェアを
社外にメンテナンスさせるには
委託元と本人の承諾が必要なんです。



だから、クラウドでマイナンバー保管するのは
ハードル高いんですよ。


いろいろヒアリングしてますが、
さすがに最初からマイナンバー制定にも絡んでいた
野村総研さんとか富士通さんとかのBPOはちゃんとしてます。


だけど、コストもかかるので、
5000件以上からって縛りがありますね。



そういうもののハズです。



酷い業者になりますと、
ここらへんヒアリングしたら
「セキュリティに関わることなのでお答えできません」
と言い切ったところもありました。


その時点でガイドラインに準拠できてないのを
わかってないんでしょうか。(^^;



こういう業者(しかも宣伝盛んなのでBPOサービスでは知名度高し)
もたくさん出てしまってますので
クラウドを利用する場合は慎重に選んでください。


ちょっと気の利いた業者さんは
秘密分散法により、分散辺にして単体ではマイナンバーとして
扱わなくていいようにして、別々に管理するシステムを開発しています。
(現在、2社ほど確認しています)


マイナンバーのクラウドサービスは玉石混交なので
十分に注意してください。

×

非ログインユーザーとして返信する

あと 2000文字

※は必須項目です。