情報セキュリティEXPOに行ってきました。

あちこちの看板に「マイナンバー」の文字が踊ります。

ただ、
「本当に法律とガイドライン読んでるのか？」
と言いたくなるような商品も目白押しです。

特に気になるのが
クラウドで預かりますよーというサービス。

これ、正直なところ、
番号法とガイドラインに準拠してないサービスが多すぎます。

まず、社外にマイナンバーを保管するのであれば、
番号法第１１条により、自社で要求されることと
同様のことができているか、委託元の監督責任が問われます。

つまり、どこに自社のマイナンバーが保管されていて
誰がいつアクセスしたかの記録が残されていて
それを定期的にチェックしていて
データ消去も確実に行われていることの
「監督」をしなきゃいけない。

物理的なハードウェアがどこにあるか委託元に開示して
必要があれば、委託元はそこを監査できなきゃいかんのです。

これ、本当にクリアできてるんでしょうか？

さらにですね。

マイナンバーが保存されたハードウェアがトラブって、
業者に修理を依頼した場合。
これも「再委託」に該当するのですよ。
（ガイドラインのパブリックコメント№46）

社内でメンテナンスを完結できないと、委託元の承諾が必要です。

さらにさらに。

「委託」と「提供」をごっちゃにしているケースも見られます。

マイナンバーを扱う“業務”を外に出すのが「委託」。
マイナンバーを他者が見ることができるようにするのが「提供」。

そして、「提供」には本人の同意が必要です。

再委託は委託元の承諾があればいい、ってのを元に
マイナンバーデータを本人の同意無しに再委託しちゃったら
番号法第19条「提供の制限」に引っ掛かるんですよ。

つまり、クラウドにマイナンバーを保管した場合、
ハードウェアメンテナンスに、関係会社を使うには
マイナンバー所有者本人の同意が要ります。

マイナンバーの保存されたハードウェアを
社外にメンテナンスさせるには
委託元と本人の承諾が必要なんです。

だから、クラウドでマイナンバー保管するのは
ハードル高いんですよ。

いろいろヒアリングしてますが、
さすがに最初からマイナンバー制定にも絡んでいた
野村総研さんとか富士通さんとかのBPOはちゃんとしてます。

だけど、コストもかかるので、
5000件以上からって縛りがありますね。

そういうもののハズです。

酷い業者になりますと、
ここらへんヒアリングしたら
「セキュリティに関わることなのでお答えできません」
と言い切ったところもありました。

その時点でガイドラインに準拠できてないのを
わかってないんでしょうか。(^^;

こういう業者（しかも宣伝盛んなのでBPOサービスでは知名度高し）
もたくさん出てしまってますので
クラウドを利用する場合は慎重に選んでください。

ちょっと気の利いた業者さんは
秘密分散法により、分散辺にして単体ではマイナンバーとして
扱わなくていいようにして、別々に管理するシステムを開発しています。
（現在、２社ほど確認しています）

マイナンバーのクラウドサービスは玉石混交なので
十分に注意してください。