シリーズで書いてきました企業向けの
マイナンバーリスクマネジメント。

リスクマネジメントとは「起きないようにする」ことから
始めるものではありません。

「起きたとしたら」どうなるか
から想定を始めるものです。

リスクと想定されることは
限りなく低くてもゼロにはなりません。

そのため、
　　・まず、発生した場合のインパクトを把握し、
　　・それが発生する原因を探し
　　・原因の発生可能性を考慮し、
　　　対策をとるべきか、無視しても良いレベルかを判断する
こういう手順で進めます。

ベンダー指導になると、これが逆に進んでいることが
ままあるのですね。

不必要な水準の対策を立てることはありませんが、
最低限、万一のことが起きても、社会から
「そこまでやってたのに、マイナンバー漏れちゃったらしょうがないね」
と思ってもらえるだけの準備をしておく。

そのためには、発生した場合にどんなことになるかの
心構えが必要です。

なのに、漏洩時にどうなるかが
全然広まってないのですよね。。。