マイナンバーしっかり対策

ようやくメリットもデメリットも話題になってきたマイナンバー。一昨年から啓蒙活動を続け、既にマイナンバーセミナー講師約200回、参加者1万5千人を超える実績を持つコンサルタントが、マイナンバーの取扱いで気を付けるべきことを解説していきます。

マイナンバー情報の収集

マイナンバーに関しての混乱の一因に
「何が正しい情報がわからない」
ということがあります。


その通りだと思います。


これは、マイナンバー制度を教える側にも問題があります。
法律やガイドラインを読み込まない、
実務経験が無いため、具体的にどうすればいいか説明できない、
こういう講師が多いのも事実。



でも、何より問題なのは
「国の担当者もちゃんと理解できていない」
ことなのですよ。


以前書いたように
コールセンターは責任者クラスでも理解できていません。


それどころか、内閣府からしていい加減です。
こんな記事を平気でFacebookに上げていたりします。
早く利用拡大したくてならないんでしょう。
検討段階のものを、さも決定事項のように書いてしまっています。



同様のことは新聞記事にも言えます。
一時、企業や町内会(!)でマイナンバーカードを申請できるとか
受け取れるとかいう記事出ましたけど
これも何も決まってないですからね?


第一、これを行うには、セキュリティの確保とか
本人確認の共通データベースと通知システムとか
ちょっと考えただけで、法令やシステムの改変が必要なことです。
新聞社ももう少し考えて記事を書いて欲しいものです。


なお、どこがリークしたかの裏は取れてませんが
「政府筋」ということでした。(^^;



このように、率先して誤った情報を流す機関もあります。


制度の取りまとめをしている「特定個人情報保護委員会」
しっかりと決まっていること、いないこと
抑えた上で正しい情報を出していますので
新聞・雑誌・講師などに惑わされず、
困ったときは、特定個人情報保護委員会発表の情報を確認しましょう。


本人に悪気はないでしょうが
「内閣府に確認済み」と書いてある
首をかしげるような情報を出す方もいますので
そういう場合は、一応疑って、特定個人情報保護委員会に裏取りしてください。

マイナンバー認知度の話

河野太郎国家公安委員長が
マイナンバーに関する不審電話がどんどん増えるので
「大々的な啓発活動を展開しないと、新たな詐欺につながりかねない」
と記者会見で訴えたそうです。


ようやく事態を認識してきたということでしょうか。



さて、このマイナンバー制度。
国民への啓発活動は内閣府が担当しております。


この内閣府の担当者に、今年の3月セキュリティオンラインが
インタビューした記事があるのです。
http://enterprisezine.jp/iti/detail/6668


国の姿勢がわかるので、興味のある方は是非、一読して欲しい。


この記事を最初に読んだときは、愕然としました。



しょっぱなから
「三割も知られてる」とか「一般的な政策と比べても」とか
とツッコミ所満載なのです。


マイナンバーは一般的な政策じゃねーよ^^;
社会を変える超重要政策ですがな。


内閣府自体も行政や自分たち周辺の
経済に関わることしか念頭にない、
という感じのインタビューです。


認知度の低さが、どんな犯罪の温床になるかとか
漏えいしたときの被害者への影響とか
シミュレートしていないことが丸わかり。


この記事を読んで、我々民間が啓蒙活動に勤しんで、
少しでも被害を免れる企業・個人を増やさないといけないと
気持ちを新たにしたことを覚えています。



そして今、懸念が現実になってきました。



読んでいただいている方には
自らの関係者を守るためにも、少しでも
マイナンバーをしっかり管理しないことのリスクを
意識していただければと思います。

マイナンバーのクラウド利用

情報セキュリティEXPOに行ってきました。


あちこちの看板に「マイナンバー」の文字が踊ります。


ただ、
「本当に法律とガイドライン読んでるのか?」
と言いたくなるような商品も目白押しです。


特に気になるのが
クラウドで預かりますよーというサービス。


これ、正直なところ、
番号法とガイドラインに準拠してないサービスが多すぎます。



まず、社外にマイナンバーを保管するのであれば、
番号法第11条により、自社で要求されることと
同様のことができているか、委託元の監督責任が問われます。


つまり、どこに自社のマイナンバーが保管されていて
誰がいつアクセスしたかの記録が残されていて
それを定期的にチェックしていて
データ消去も確実に行われていることの
「監督」をしなきゃいけない。


物理的なハードウェアがどこにあるか委託元に開示して
必要があれば、委託元はそこを監査できなきゃいかんのです。


これ、本当にクリアできてるんでしょうか?



さらにですね。


マイナンバーが保存されたハードウェアがトラブって、
業者に修理を依頼した場合。
これも「再委託」に該当するのですよ。
(ガイドラインのパブリックコメント№46)


社内でメンテナンスを完結できないと、委託元の承諾が必要です。



さらにさらに。


「委託」と「提供」をごっちゃにしているケースも見られます。


マイナンバーを扱う“業務”を外に出すのが「委託」。
マイナンバーを他者が見ることができるようにするのが「提供」。


そして、「提供」には本人の同意が必要です。


再委託は委託元の承諾があればいい、ってのを元に
マイナンバーデータを本人の同意無しに再委託しちゃったら
番号法第19条「提供の制限」に引っ掛かるんですよ。


つまり、クラウドにマイナンバーを保管した場合、
ハードウェアメンテナンスに、関係会社を使うには
マイナンバー所有者本人の同意が要ります。


マイナンバーの保存されたハードウェアを
社外にメンテナンスさせるには
委託元と本人の承諾が必要なんです。



だから、クラウドでマイナンバー保管するのは
ハードル高いんですよ。


いろいろヒアリングしてますが、
さすがに最初からマイナンバー制定にも絡んでいた
野村総研さんとか富士通さんとかのBPOはちゃんとしてます。


だけど、コストもかかるので、
5000件以上からって縛りがありますね。



そういうもののハズです。



酷い業者になりますと、
ここらへんヒアリングしたら
「セキュリティに関わることなのでお答えできません」
と言い切ったところもありました。


その時点でガイドラインに準拠できてないのを
わかってないんでしょうか。(^^;



こういう業者(しかも宣伝盛んなのでBPOサービスでは知名度高し)
もたくさん出てしまってますので
クラウドを利用する場合は慎重に選んでください。


ちょっと気の利いた業者さんは
秘密分散法により、分散辺にして単体ではマイナンバーとして
扱わなくていいようにして、別々に管理するシステムを開発しています。
(現在、2社ほど確認しています)


マイナンバーのクラウドサービスは玉石混交なので
十分に注意してください。