マイナンバーへの対応を急げ！（第2回） 怠った企業は加害者に。今こそセキュリティ対策を

　2016年1月に始まるマイナンバー制度の運用を前に、いま多くの企業が準備を進めている。個人情報の扱いに関する法制度としては、2005年に全面施行された個人情報保護法がある。規制の対象となったのは5000件以上の個人情報を所持する事業者。どちらかというと、一定規模以上の企業ということになる。

　中小企業の中には、個人情報保護法の対象外となる事業者が多い。その個人情報保護法と異なり、マイナンバー制度では事実上すべての企業が対象となる。企業はパートやアルバイトを含む雇用者全員のマイナンバー情報を取得し、適切に管理する義務を負うからだ。

　このような意味で、マイナンバー制度は大企業よりも中小企業への影響が大きいという見方もできる。大企業はすでにある程度のセキュリティ基盤をつくってきたが、中小企業の中には「これから」というケースも少なくないからだ。

セキュリティ強化は企業の社会的な責任

　考え方を変えれば、中小企業にとってマイナンバー制度は、セキュリティリスクを最小化する仕組みづくりの契機になるはずだ。課題を洗い出して適切な対策を実行すれば、将来直面していたかもしれない危機を回避できる。セキュリティ強化は今や、企業の社会的な責任として実行すべき局面に来ているのだ。そこには、マイナンバー制度への対応以上の意味が含まれている。

　個人情報に関して、社会はますます敏感になっている。かつては、不正アクセスなどの攻撃を受けて情報漏えいに至った企業が、被害者と見なされるケースもあったかもしれない。これからは、十分な対策を怠った“加害者”として報道される。

　また、個人情報以外の知的財産、営業秘密など情報資産の価値も高まっている。これらの情報を取引する、アンダーグラウンドのマーケットも同じく拡大している。こうした機密情報が外部に流出した場合のダメージは、以前よりもはるかに大きくなったと考えるべきだろう。

　万一のことが起きたとき、得意先はどう思うだろうか。そのような企業に対して、得意先は以前と同じように大事な図面を渡して仕事を任せるだろうか。取引先との関係、人材採用にも悪影響が出てくる可能性がある。

懸念されるIT分野でのセキュリティ対策

　マイナンバーを含む個人情報は、特定個人情報と呼ばれる。政府は特定個人情報の取り扱いに関するガイドラインを公表している。ガイドラインは「必要かつ適切な安全管理措置が必要」とした上で、以下のような対策に言及している。

　まず、上位の措置として「基本方針の策定」（組織としていかに取り組むか）と「取扱規定等の策定」（業務マニュアルなど）がある。こうした方針のもと、「組織的安全管理措置」（組織体制の整備など）や「人的安全管理措置」（従業員への教育など）、「物理的安全管理措置」（オフィスの配置、電子媒体の持ち出し対策など）、「技術的安全管理措置」（アクセス制御、外部攻撃への対策など）が並ぶ。

　これらは基本的には、セキュリティ対策全般に適用できる考え方である。ただ、特定個人情報を扱う際には、より高いレベルでの対策を講じる必要がある。基本方針や組織や業務、人的な側面とともに、情報を扱う環境としてのITの側面でも対策も重要だ。上記の措置は非IT分野とIT分野とに分けることもできる。

　特に、中小企業ではITの専任担当者がいない場合が多く、物理的安全管理措置や技術的安全管理措置に関しての取り組みの遅れが懸念される。複雑化するIT環境の全体をいかにセキュアに維持するか、高度化する攻撃手法に対していかに防御態勢を構築するか。IT分野での課題は少なくない。

　そして、こうした課題への解決策を低コストで、かつ業務の効率や利便性をできるだけ低下させることなく実現する必要がある。その取り組みを先送りすることはできない。マイナンバー制度への対応に関しては、「やらない」という選択肢はないのだ。