みなさん、こんにちは。吉政創成の吉政でございます。

今日は話題のマイナンバーの話ですが、マイナンバー自体の話ではありません。人事システムの話ではありません。セキュリティとオンラインストレージのお話です。

最初に一般論になりますが、会社がマイナンバー対応でしなければいけないことはおおよそ以下になります。

■マイナンバー対応で会社がするべきこと
・制度の内容把握
・マイナンバーの利用制限、利用用途などを明確化
・全従業員のマイナンバーの取得・紐づけ
⇒本人確認・個人の特定が必要

★マイナンバーの利用用途は社会保障・税・災害対策に限られているが、あらゆる情報に紐づくため、厳格な管理が必要
⇒給与、学歴、病歴、事故・非行歴などに紐づけられる

上記について特に触れませんが、今回は上記の「★」印に関することです。
社員の重要な情報を企業が管理するので、しっかりしたセキュリティの対応が必要です。一応、罰則としては４年以下の懲役　または　200万円以下の罰金、またはその両方となっていますが、加えて個人情報の漏えいの話になりますので、情報を漏えいした個人に対して支払う金額はさらに大きくなります。大型の情報漏えい事故を見ていると、相当な金額になります。一人一万円の賠償をしたとしても、漏えい対象者が1万人であれば、1億円になります。1億円の利益を稼ぐためには企業は一体いくら売上が必要でしょうか。しかもマイナンバーの情報漏えいともなればタイムリーなので、大きく報じられそうでもあります。いずれにせよ、情報漏えいは企業として信用問題に発展もします。

今回のコラムの後半ではシステム面の「物理的安全管理措置」と「技術的安全管理措置」に触れてみます。

■物理的安全管理措置
以下はハード面での対策のような感じです。
a.特定個人情報等を取り扱う区域の管理
⇒入退室管理（ ICカード、ナンバーキー）、機器持ち込み制限、パーティション等の設置、座席配置の工夫等

b.機器及び電子媒体等の盗難等の防止
⇒情報を取り扱う機器、電子媒体等を施錠できるキャビネットに保管、セキュリティワイヤー等により固定する等

c.電子媒体等を持ち出す場合の漏えい等の防止
⇒持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等

d.個人番号の削除、機器及び電子媒体等の廃棄
⇒専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用、等

■技術的安全管理措置
以下はソフト面の対策のようなイメージでよいと思います。

a.アクセス制御
⇒特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する
特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する、等

b.アクセス者の識別と認証
⇒事務取扱担当者の識別方法としては、ユーザーＩＤ、パスワード、磁気・ＩＣカード等が考えられる

c.外部からの不正アクセス等の防止
⇒情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する
情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する

d.情報漏えい等の防止
⇒通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる
情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。

ざっとあげると上記になりますが、この中で基本的な共通点が一点あります。それはなんだかわかりますでしょうか？

それはログです。情報漏えいをしないようにすることはもちろんですが、企業としてログが取れることにより、原因分析、対策立案ができるというものです。皆さんが使っているシステムではだれがいつどのように使っているかログは取れていますでしょうか？

このコラムのメインテーマである。オンラインストレージにはログがとれていないものが多いです。これは社内コンプライアンス上まずいです。私がアドバイザーをしているディーアイエスソリューションのクラウド・オンラインストレージ「GIGAPOD on SaaS」はもちろん、ログが取れます。それ故に、法人向けでは高い評価を頂いていると思います。興味がある方は試用版がございますので、ご利用ください。

GIGAPOD on SaaS：https://www.si-jirei.jp/onlinestorage/
（試用版も上記よりご利用ください）