マイナンバーリスクマネジメント・8
シリーズで書いてきました企業向けの
マイナンバーリスクマネジメント。
リスクマネジメントとは「起きないようにする」ことから
始めるものではありません。
「起きたとしたら」どうなるか
から想定を始めるものです。
リスクと想定されることは
限りなく低くてもゼロにはなりません。
そのため、
・まず、発生した場合のインパクトを把握し、
・それが発生する原因を探し
・原因の発生可能性を考慮し、
対策をとるべきか、無視しても良いレベルかを判断する
こういう手順で進めます。
ベンダー指導になると、これが逆に進んでいることが
ままあるのですね。
不必要な水準の対策を立てることはありませんが、
最低限、万一のことが起きても、社会から
「そこまでやってたのに、マイナンバー漏れちゃったらしょうがないね」
と思ってもらえるだけの準備をしておく。
そのためには、発生した場合にどんなことになるかの
心構えが必要です。
なのに、漏洩時にどうなるかが
全然広まってないのですよね。。。