各所の記事を見ていますと、
まだまだマイナンバー対応を全然されていない企業が
多いようですね。

実際に今月からは、もうマイナンバーを収集しとかなきゃいけませんので、
最早遅すぎるはずなんですが。法令上。

マイナンバー収集は、
ガイドラインの安全管理措置が完了してから
行う必要があります。法令上。

ですが、規程やらシステムやら管理区域の設定やらが
そう簡単にできるわけがありません。

なので、ほとんどの企業は、
法令違反に目を瞑る形でマイナンバー収集を
することになるでしょう。法令上。

あんまり言いたくはありませんが、
道交法の速度制限みたいなもんで、
ルールは知ってるけど、完璧に守る人など
ほとんどいない。（パトカーもよく違反してるし）
余程ひどくない限り、摘発はしない、ということになりそうです。

ただ「余程ひどい」場合。

これは会社が潰れるくらいの騒ぎになります。

マイナンバーの「紛失」とか「漏洩」が起こったら。

どうせ（と言っちゃマズイけど）ガイドラインに
完璧に対応するなんて、余裕のある大企業でもなければ難しい。
だけど、絶対にやっちゃいけないこと。
それが"早い段階での"マイナンバー事故です。

だから、後手に回ってる企業が真っ先にやらなきゃいけないのは
「漏洩させないこと」「紛失させないこと」

とは言うものの、年金機構であったような「標的型攻撃」の対応。
これは「もう遅い」です。

なぜなら、年金機構や東京商工会議所が、標的型攻撃に気づいたのは
NISCやJPCERT等、外部団体が発見してくれたから。
みなさんの会社は、こういうところが監視してくれるような先ですか？
ほとんどの方は違いますよね。

もう既に、こっそりとバレずに攻撃を受け続けている企業が
山ほどあるはずなんです。

だから、自社のネットワークセキュリティに自信が持てないなら、
標的型攻撃にひっかかること前提で対策を考えなきゃいけない。

考え方としては３つあります。
　１．データ化しない
　２．自分で持たない
　３．非マイナンバー化する

１は紙などで保管することですね。
これだったら、無くなったらすぐわかります。
でも、数が多いと大変です。

２は委託するやつですね。
これは有効ですが、委託先はしっかり選んでください。
玉石混交です。

３はすぐにはピンとこないかもしれませんが、
以前紹介した「秘密分散」です。
複数に分割して、そのうちの一つを社外に置いておけば、
社内サーバを全部持ってかれたとしても
復元できなくなります。

この３つのどれかに対応して、
社員教育を行い、内部のうっかりミスと
内部犯行を防ぐ。

まだマイナンバー対応を始めていない
遅れてしまった企業さんは
まずはここから始めましょう。