個人の「出来心」で利用できない管理体制を
繰り返しになりますが、この個人マイナンバーは今後利便性の向上と比例する形でさらに重要度、そして危険度が増加していくことが想定されます。
まだ活用されていない早い段階、つまり大した価値がないと思われているうちに、社員から収集して名前や住所などと紐付いた状態のまま保管してある「個人特定可能なマイナンバー」を探して収集しておき、(名簿でも割とある話ですが)数年経って価値が増してから「活用」しようと考える悪人だってかもしれません。ちょっとした危機管理の抜けが、後々に爆弾となる可能性も否定できないのです。
いわゆる「魔が差した」人を社内に作らないためにも、収集、管理、使用、廃棄は厳格に定めたルールに基づくことを基本とし、個人レベルの「出来心」で持ち出しなどそもそもできない、そんな運用の実現が重要なのだろうと思います。
もちろん普段の仕事が四六時中誰かに監視されている、などという状況は恐らく業務に支障が出るレベルの耐え難いストレスでしょう。
そういうことではなく、特定のモノを扱う特定の作業時に限っては複数で、相互の目がある状態でしか行えないような仕組みにしておけば、痛くもない腹を探られるような不快な目に遭わずに済むと思うのです。
これは一例ですが、他にも「システム構築」「情報セキュリティポリシー構築時」「担当部署の指導訓練」「リスクアセスメント」でやっておくべきこと、それぞれの切り口で注意点はまだまだあります。そして先に述べたように、現時点では変動する要素も少なくありません。後の変更にも対応できるような柔軟性も欠かせません。
例えばマイナンバーと個人情報を切り離して管理するにしても、作業時にはもちろん元の個人との紐付けを戻す必要があります。その方法なども含め、実運用を考えると恐らく組織それぞれにとって色々な課題が浮き彫りとなるでしょう。
自組織の中ではどうしても解決できそうにないと感じた場合は、例えばアウトソース(これも完全に丸投げて負荷をかけずに済ますというわけにはいかず、営業秘密の情報漏えい事件と同様に「委託先に関する適切な監督」が必要となるのですが)も一つの手です。そうした選択肢も踏まえて専門家にコンサルティングを受けることも有効でしょう。
まずは常に情報を最新にアップデートして、しっかり地に足を付けて対応準備を進めていただきたいと思います。
- 中山貴禎
- 自動車や広告、セキュリティ業界とさまざまな業界を渡り歩き、2015年4月より株式会社アズジェントに勤務、セキュリティサービス部長とエバンジェリストの二足の草鞋を履く。エバンジェリストとしては広く一般に出来る限りの分かりやすさと偏らない視点に注力し活動している。
