本日2015年6月1日は日本年金機構が記者会見で「最大125万件の年金データが流出した」と発表しました。まさかとは思いますがこれはマイナンバー制度をつぶす目的で日本年金機構が抵抗しているのでしょうか。もともと、必要な社会保険料の徴収と税額補足を目的として実施するはずのマイナンバー制度がこのような形で崩壊するかどうかは不明です。
さて、政府広報ではマイナンバーの準備として「まずは対象業務を洗い出した上で、組織としての準備が必要です。組織体制やマイナンバー利用開始までのスケジュールを検討して、対応方法を決定してください」とあります。また、取り扱いについては「行政機関だけではなく民間事業者にも特定個人情報の適切な取り扱いが求められます。マイナンバーは法律で定められた範囲以外での利用が禁止されています」とあります。更にマイナンバーは個人情報保護の観点から安全管理措置を講じる必要があるとされています。
ここではいったいどうすればよいのか?となりますが、その答えは前回に触れたように『特定個人情報の適正な取扱いに関するガイドライン』があり、これに準拠することによってマイナンバーを適正に取り扱うことができると主張できます。しかし、日本年金機構が125万件の年金データを流出させたと聞くと、残りは安全かと疑問が生じます。このことに対して適切な管理体制が整っているという第三者認証を受けることが一つの手段として登場します。そのために登場するのが『特定個人情報の適正な取扱いに関するガイドライン』と連動するJIS Q 15001:2006に準拠させるプライバシーマーク認証です。あるいはその上位規格であるJIS Q 27001:2014情報セキュリティマネジメントシステム準拠の第三者認証です。
政府広報はマイナンバーを適正に扱うための必要な準備は次のステップを踏むといいます。
- マイナンバーを適正に扱うための社内規程作り
- マイナンバーに対応したシステムの開発や改修
- 特定個人情報の安全管理措置の妥当性検証
- 社内教育・研修の実施
上記内容がどこかで見たことがあることに気づいた方もいらっしゃるかと思いますが、これはJIS Q 9001:2008やJIS Q 14001:2004の準備と基本的には同じです。つまり、「マイナンバーを取り扱う業務プロセス」を明らかにすることが重要、言い換えるならばマイナンバーが登場する業務プロセスを全部洗いだすことがアルファでありオメガであります。
