マイナンバーのクラウド利用
情報セキュリティEXPOに行ってきました。
あちこちの看板に「マイナンバー」の文字が踊ります。
ただ、
「本当に法律とガイドライン読んでるのか?」
と言いたくなるような商品も目白押しです。
特に気になるのが
クラウドで預かりますよーというサービス。
これ、正直なところ、
番号法とガイドラインに準拠してないサービスが多すぎます。
まず、社外にマイナンバーを保管するのであれば、
番号法第11条により、自社で要求されることと
同様のことができているか、委託元の監督責任が問われます。
つまり、どこに自社のマイナンバーが保管されていて
誰がいつアクセスしたかの記録が残されていて
それを定期的にチェックしていて
データ消去も確実に行われていることの
「監督」をしなきゃいけない。
物理的なハードウェアがどこにあるか委託元に開示して
必要があれば、委託元はそこを監査できなきゃいかんのです。
これ、本当にクリアできてるんでしょうか?
さらにですね。
マイナンバーが保存されたハードウェアがトラブって、
業者に修理を依頼した場合。
これも「再委託」に該当するのですよ。
(ガイドラインのパブリックコメント№46)
社内でメンテナンスを完結できないと、委託元の承諾が必要です。
さらにさらに。
「委託」と「提供」をごっちゃにしているケースも見られます。
マイナンバーを扱う“業務”を外に出すのが「委託」。
マイナンバーを他者が見ることができるようにするのが「提供」。
そして、「提供」には本人の同意が必要です。
再委託は委託元の承諾があればいい、ってのを元に
マイナンバーデータを本人の同意無しに再委託しちゃったら
番号法第19条「提供の制限」に引っ掛かるんですよ。
つまり、クラウドにマイナンバーを保管した場合、
ハードウェアメンテナンスに、関係会社を使うには
マイナンバー所有者本人の同意が要ります。
マイナンバーの保存されたハードウェアを
社外にメンテナンスさせるには
委託元と本人の承諾が必要なんです。
だから、クラウドでマイナンバー保管するのは
ハードル高いんですよ。
いろいろヒアリングしてますが、
さすがに最初からマイナンバー制定にも絡んでいた
野村総研さんとか富士通さんとかのBPOはちゃんとしてます。
だけど、コストもかかるので、
5000件以上からって縛りがありますね。
そういうもののハズです。
酷い業者になりますと、
ここらへんヒアリングしたら
「セキュリティに関わることなのでお答えできません」
と言い切ったところもありました。
その時点でガイドラインに準拠できてないのを
わかってないんでしょうか。(^^;
こういう業者(しかも宣伝盛んなのでBPOサービスでは知名度高し)
もたくさん出てしまってますので
クラウドを利用する場合は慎重に選んでください。
ちょっと気の利いた業者さんは
秘密分散法により、分散辺にして単体ではマイナンバーとして
扱わなくていいようにして、別々に管理するシステムを開発しています。
(現在、2社ほど確認しています)
マイナンバーのクラウドサービスは玉石混交なので
十分に注意してください。