前回は番号法と個人情報保護法、それぞれのガイドラインの位置付けと関連性について説明し、ガイドラインに含まれる具体的対策例はあくまで一例であり、企業においてすべてではない点に触れた。
実際、マイナンバー保護のための安全管理措置は「企業の規模や業務における特定個人情報の取り扱い方に応じて適切な手法を採用する」と記載されている。また市場には、マイナンバー保護をうたったセキュリティ製品やサービスがあふれ、企業側はますます「何を選び」「どこまで」やればよいのか判断できない状況にあることを、最近は実際によく耳にする。
先日もマイナンバー保護に関連したセミナー会場にて、ある企業のマイナンバー管理に携わる役職の方と話す機会があったのだが、「うちはそこまでお金かけられないのだけど、どこまでやれば許されるのか」とかなり困り果てた様子で質問を受けた。
今回の番号法では、個人情報保護法のように取り扱う個人情報の数で対象外となる企業が出るわけではなく、特定個人情報を取り扱う企業すべてが対象となる。これにより十分なセキュリティ投資ができない中小企業においても、大企業と同レベルで対応しなければならないという脅迫観念があるらしく、これがなおさら混乱を招いているようだ。
誤解を正しておくと、中小企業においては下記の通り、「中小規模事業者における対応方法」として特例的な対応レベルが示されている。もちろん、中小企業においても例示に示されるレベルで対応することが「望ましい」ことはガイドラインの前提にも記されている。
いずれにしても、企業がマイナンバーを新たに情報管理に加える際、まず認識しなければならないのがガイドラインで言及されている3つの保護措置になる。端的に言えば、特定個人情報を保護するために、不要に情報が漏れないように「利用を制限」し、番号自体に対して「各種リスク対策(安全管理措置)を講じる」ことと、番号を第三者とやりとりする場合の「取り決め」になる。この中で企業が「取り組むべきこと」として分かりやすいのが安全管理措置だろう。
ガイドラインにて言及されている取り組むべき項目は下記の6項目であり、そのうち「基本方針」「取り扱い規定」「組織的・人的安全管理措置」はコンプライアンス、内部統制的な指針で、一方「物理的・技術的安全管理措置」は特定個人情報そのものに対する物理的・技術的なセキュリティ対策である。
すでに至るところで安全管理措置について言及されているが、その核心は今まで企業が抱えていたようなリスク(内部不正、外部からの不正アクセス)から特定個人情報を守るためのユーザーの本人認証、暗号化、ログ管理、境界線セキュリティ、インシデント分析などである。