マイナンバーしっかり対策

ようやくメリットもデメリットも話題になってきたマイナンバー。一昨年から啓蒙活動を続け、既にマイナンバーセミナー講師約200回、参加者1万5千人を超える実績を持つコンサルタントが、マイナンバーの取扱いで気を付けるべきことを解説していきます。

マイナンバー制度 企業への懸念点

マイナンバー制度について、完了していない企業が
ほとんどだと思いますが。(笑・・・ごとじゃないな^^;)


企業への懸念が一つあります。


ちょっと厳しい言い方になりますが、
マイナンバーブームに乗るだけの企業サービスには
気を付けてください。


今のマイナンバー関連サービス、特にマイナンバーを預かるというサービスは
ガイドラインに準拠しようの無い、酷いものがたくさん出ています。


もう契約していたら遅いかも知れませんが、
契約前に必ず以下のことを確認してください。


 1.自社のマイナンバーはどこのサーバに存在しているか
   ・物理的場所まで把握すること。「○○のクラウドサービスを利用しています」
    では、アウト。


 2.自社のマイナンバーデータが入っているサーバに触れることのできる
   「人」はどこの所属か
   ・その人の所属会社まで把握すること。外部の人間がメンテナンスする場合
    “再委託”と見なしておく必要がある。


 3.自社のマイナンバーデータが入っているサーバへのアクセスログ
   (物理的にも論理的にも)は保管され、誰がいつチェックするか。
   ・アクセス記録は保管され、定期的なチェックがされなければなりません。


 4.通信経路の安全管理はどうなっているか
   ・SSLは暗号化に過ぎないので、盗聴されたら漏えい事件となる。
    そのリスク認識があること。


 5.契約書に「委託」契約であることが明記されているか
   ・預ける段階で「委託」したことにならないと、クラウド側は免責されますが、
    預けた側は監督責任を放棄したことになります。


 6.自社の人間が、監査に行けるか
   ・委託側が監督責任を果たしていると見なされる為には、
    なぜ、この委託先が適切に保管ができるのか、監査・評価実績が必要です。
    「預けっぱなし」は認められません。


これは個人の匿名ブログなので、率直に申し上げますが(笑)
ガンガン宣伝をしているサービスにも「全部」できてないところがあります。
受託する側にもコストがかかるので、
ガイドラインに完璧に準拠するには、一定以上の収入がなければ難しい。
(通常は企業ごとに記憶媒体を変えなければならないですから)


マイナンバーに最初から絡んでいるNRIさんとか富士通さんとかは
ちゃんと対応するとコストかかるのをよく御存じなので
5000件以上じゃないと対応しないって制限かけてます。


こういう制限かけていないところは
しっかりと見極めないとアブナイ。


全部が全部そうだとは言いません、技術的に対応する方法はあるので。
ですが、ヒアリングをかけてみると
そこまで認識して対応しているサービスは実に少ない。


面倒なことはできるだけ避けたい。


ですが、マイナンバー(個人情報もですが)の管理責任は
どこまで行っても最初に受けとった者にあります。


手間を惜しんで、会社を傾ける。
そういうことが無いよう、切に願います。


×

非ログインユーザーとして返信する

あと 2000文字

※は必須項目です。