つい先日、日本年金機構のネットワークに対してウィルスメールによる不正アクセスが行われ、年金加入者及び年金受給者の個人情報が流出したことが報道発表された。これを受け、2018年から預金口座や乳幼児に係る予防接種記録にもマイナンバーの利用範囲を拡大すべく検討されていたマイナンバー法改正案の採決は先送りされることが決定している。加えて、年金分野へのマイナンバー利用については、具体的な時期は明言していないものの、当初予定されていた導入時期よりも遅らせることが社会保障・税一体改革担当相より発表されている。
マイナンバー対策の「見落としがち」な部分とは?
社会保障と税の共通番号とされるマイナンバー制度導入を間近に控えたこの時期に、日本年金機構の情報流出問題は世間に相当なインパクトを与えている。改めてネットワーク社会の脆弱性が問われる格好となったからだ。医療・年金をはじめとする社会保障制度、税制、災害対策の3分野において限定的に使用されるとはいえ、マイナンバーの管理方法や情報流出へのリスクについて、国はどの程度の検討と対策をとっているのか。不安に感じてしまうのは筆者だけではないはずである。また、マイナンバー制度がはじまると、情報流出をさせない管理方法や仕組みづくりは会社にも求められる。会社が社員のマイナンバーを管理しなければならないからだ。仮に情報を流出させてしまった場合の会社に対する責任は非常に重い。そこで今回は、具体的対応策のノウハウについては、様々なところで情報発信されているため、そちらに譲ることとし、本稿では日本年金機構の情報流出事件を教訓に、企業が見失いやすいマイナンバー対策の視点に絞って考えてみたい。
特定個人情報保護委員会は、企業がとるべき特定個人情報に係る安全管理措置の内容として、次の6つの観点から社内の体制整備を要請している。
陥りやすい過ちは、いわゆる形さえ整えて安心してしまうことだ。つまり、目にみえる外形上の整備に終始してしまうことである。例えば、この表の①②③⑤⑥がそれに当たる。確かに時間や費用をかけて実施するのであるから、これらが一通り揃うと対策が万全になったと考えてしまいやすい。しかし、どんなに素晴らしい諸規程やシステム、技術を導入したとしても、これをオペレーションする側(上記表では④)に問題があれば何の意味も持たない。至極当たり前のことだと思われたかもしれないが、この対策こそが実に難しい。会社と社員双方の不断の心がけが大切だからだ。
データの取扱者は、システムではなく人間である!
先の日本年金機構における情報流出問題も、諸規程をはじめ組織体制や物理的・技術的なハード面の整備はなされていたと推察される。しかし、ソフトの面で本来パスワードを付して扱うべき機密文書にパスワードが付されておらず、情報流出発覚後も対応が後手に回ったことが被害を拡大させた。過去の個人情報漏えい問題をみても、記録媒体を勝手に外部に持ち出していたり、USBメモリに保存しその後に紛失してしまったり、誤送付により関係のない第三者に個人情報を漏えいしてしまったりと、扱う者の過失による場合がほとんどである。ネットワーク社会と呼ばれて久しい昨今、業務とネットワークは切っても切り離せない関係にある。マイナンバーのような新しい未知の制度と対峙していると、真新しさに目を奪われて技術的な視点ばかりに目が向く傾向にあるが、そうではない。どのような制度や技術が台頭しても、共通して言えることは、これらを扱うのは最終的に人間であるという点だ。まずは扱う側に正しい見識を身につけることが基本原則である。この大事な視点が抜け落ちてしまわぬよう、マイナンバーの事務処理に係る作業手順や作業管理組織について十分な検討と教育を徹底していく必要があると言える。
SRC・総合労務センター、株式会社エンブレス 特定社会保険労務士 佐藤正欣