もちろん、2014年のベネッセ事件で浮き彫りになった内部不正(委託会社社員による)リスクについても、委託先に対する監督義務が番号法で盛り込まれており、企業側は委託先に責任をなすり付けることはできない枠組みが設けられている。また、それ以外の内部不正リスクは人的、組織的、物理的な安全管理措置にて排除しなければならない。
一方、年金機構などで起きた標的型攻撃対策はどうだろうか。
技術的安全管理措置の「外部からの不正アクセスなどの防止」には、少なくとも一昔前のセキュリティ対策しか言及されていない。(ファイアウォールの設置、ウイルス対策ソフトウェアの導入、パッチの適用、ログの分析のみ)年金機構の件もしかり、標的型攻撃のターゲットとなった企業は、当然、上の例示にあるような対策は講じていただろう。それにも関わらず、セキュリティ境界線をすり抜け、感染、そして情報漏えいに至ったのは、最新の脅威に対する認識不足としか言いようがない。
残念なことに、2014年度の情報処理推進機構(IPA)の報告書からも分かるように、標的型攻撃、マルウェアについての認識率は世間では50%程度となっており、かつその概要、脅威をある程度知っていると回答した割合は20%にとどまる。この認識率はそのままガイドラインに反映されているようで、マイナンバーのような機微度の高い情報管理に対するガイドラインとしては、問題視される内容であるといえよう。
出典:IPA 「2014年度 情報セキュリティ事象被害状況調査報告書」
一方、日本をターゲットとしたサイバー攻撃がすでに始まっているとの報道から、マイナンバーの管理手法に関するガイドラインの例示を各事業者が真に受けてしまうと、近い将来に標的型攻撃の被害者が出てしまいかねない。
ガイドラインの例示は全てではなく、企業側で考えられるリスクに対して最善の手を打つ必要があると、ある意味「逃げて」いるので、企業側はあくまで「今あるリスク」を見据えた対応を選択しなければならない。そして各企業が今一番認識しなければならないのが、「自社のセキュリティ対策が最新の脅威に対してどれほど有用なのか」である。