マイナンバーこんなクラウド業者は嫌だ
今一番、懸念しているのが
「マイナンバーを預かります」のクラウド業者です。
「ガイドライン準拠」をうたっていますが
どー考えても、準拠していない。
いや、正確に言うと
「クラウド業者は準拠してるけど、預けた企業は準拠してない」
が正しいでしょうか。
☆最初のポイント
「マイナンバーの業務委託」になっているかどうか。
アヤシイ業者はこれをしません。
こういう業者はマイナンバーのQ&A3-12を理由にします。
ですが、これは
「俺、マイナンバー預かるなんて聞いてないもん。だから委託じゃない。」
て話なんですね。
このような業者にマイナンバーを預けると、万一の場合
預けた側の企業は、管理責任を果たしていないと見なされます。
マイナンバーを置いてはいけない場所に保管したことになるので。
某クラウドでは、マイナンバーを預かっていることを知らなかったとするため
マイナンバー廃棄の際、顧客に渡す書類を
「廃棄証明書」から「廃棄確認書」にこっそり直してたりしてます。
「証明」ってことは保管してたこと前提でないと言えません。
こういうトコは、わかっててやってますね。
☆次のポイント
「委託」を認めていたら、次は「監査要求」に応えられるかどうかです。
管理責任を果たすためには、任せっぱなしではダメ。
杭打ち偽装の三井住友建設が、下請けの旭化成の責任にできないのと一緒です。
だから、監査できるようにしとかないといけない。
「委託」契約を結べること、「監査要求」に応えられること
この二つをクリアすることが、マイナンバーをクラウドで扱う
「最低限」のポイント。
この上で、技術的にどうか、価格はどうか、とかいう話になります。
まず、この二つができてないようなトコは絶対に止めてください。
この二つができてなくてもクラウドが使えるのは
「マイナンバー扱いしなくて良い」秘密分散での管理くらいです。
クラウドで管理する場合は、有事の際、どんな責任を問われるのか?
その観点で選んでください。
本当にひどいクラウド業者が多すぎます。