マイナンバー対策を考える(8) やはり民間はセキュリティマネジメント

前に触れました通り、社会保険と税の一体改革に伴って導入されるマイナンバー制度は官と民に温度差があります。また、温度差があるところに日本年金機構から一部の年金加入者のある種の情報が流出し、日本年金機構の対応がお粗末であるという、情報セキュリティの信頼に対する裏切りとも取れる事件が起こったことから民間にとってはますますセキュリティ対策を講じることが必要であろうという雰囲気になっています。

IMG_1652ここでは情報セキュリティについて考えるべき内容について述べます。情報セキュリティを考える上での基本文献はJIS Q 27001:2014(ISO 27001:2013)です。情報セキュリティシステムマネジメントの国際規格です。国際規格といえば難しく感じますが、実際は情報セキュリティシステムを確保するための最低限度何をすれば良いかの要求をしているのがISOのMS企画群の大きな特徴です。この最低限度何をすれば良いかを明らかにしているということはあまり言われていないため、MSは難しいというイメージを持ちます。ここでMSといっていますが、Management Systemのことを言います。例えばISO9001は品質「マネジメントシステム」ですし、ISO14001は環境「マネジメントシステム」です。「マネジメントシステム」と表現するということはこれらにはシステムとしての共通項があるということです。従って、ISO9001やISO14001の認証を受けている企業から見れば、ISO27001の認証を受けることは重なる部分が多いので難しくないということです。

ISO27001によれば、情報セキュリティマネジメントシステムは情報の機密性、可用性、完全性を確保するために企業が講じることを明らかにし、それらがなにかを宣言し、宣言通りに実行し、監査し、改善を図るというサイクルを回せということになります。従って、企業にとって必要な情報セキュリティシステムは、置かれた規模、業種、業態によって全く異なるため一律に「これさえやれば良い」とは言えません。マイナンバー対策として講座を開く、いろいろなシステムの再構築の提案を受けることがあると思いますが、講座で述べられたことやシステムインテグレーターからの提案全部に応じる必要がない反面、本当に必要なものを見分ける能力が必要となります。ベンダーに対して不要な理由を説明する必要はありませんが、従業員や取引先に対しては説明をする必要があります。その際に参考になる文書がISO27001です。

これに対してマイナンバーについてはガイドラインが存在するからその通りにすれば良いのではないか、という意見があると思いますが、マイナンバーのガイドラインもISO27001と同じ性格を持っています。つまり、最低限度で何をすれば良いかを明らかにすると同時に、どのような企業にとっても有益になっています。ということは、実は中小企業にとっては不要なものが存在するということです。従業員が万を超える企業と従業員が片手で数えられる企業を同じ文書で説明しようとすることに無理があると思われるかもしれませんが、実際はそのようなことはありません。大きい企業の対策を書いていれば、中小企業の場合はいらない箇所を除外するようにすれば良いはずです。マイナンバー対策で重要な視点の一つが適格な対策を行うということです。

タイトルとURLをコピーしました