AOSソリューションフェアを開催

赤坂の山王会館でAOSソリューションフェアーを開催しました。

リーガルテック®展2015

2015年10月5日にザ・リッツカールトン・東京で第3回リーガルテック®展が開催されました。

リーガルテック展会場

リーガルテック®展会場

世界最先端のリーガルテクノロジーと専門家が集う国際カンファレンスということで、毎年多くの方にご参加いただいており、今年も、たくさんの方々に会場にお越しいただきました。

リーガルテック展受付

リーガルテック®展受付

プログラム1では、駒澤綜合法律事務所の高橋郁夫弁護士と田辺総合法律事務所の吉峯耕平弁護士が「デジタル証拠の法務の現在と将来」について講演されました。

お二人は、最近「デジタル証拠の法律実務Q&A」を執筆されましたので、これを記念しての講演となりました。

プログラム2では、ベイカー&マッケンジー法律事務所の井上朗弁護士より、「リーガルテクノロジーを使った国際カルテル事案への対応策」というテーマで講演されました。

井上先生は、10年以上に亘り、独占禁止法および競争法案件に一貫して対応してきたアンチトラスト案件の専門弁護士です。

プログラム3では、カタリスト社のJohn Tredennick社長が「Using Next-Generation Technology Assisted Review(TAR2.0) to Reduce Discovery Costs」というテーマで講演されました。John社長は、大手法律事務所で訴訟弁護士として活躍し、電子データの証拠開示を支援するためカタリスト社を創業しました。

プログラム4では、TMI総合法律事務所の大井哲也弁護士が「マイナンバー対応の為の安全管理システムの実装フロー」というテーマで講演されました。大井先生は、クラウドコンピューティング、インターネット、インフラ、SNS、情報セキュリティの各産業分野における実務に精通しており、経済産業省の情報セキュリティに関するタスクフォース委員等を歴任されています。

プログラム5では、インテレクチュアル・ベンチャーズ社の日本代表の加藤幹之氏が「欧米新時代の知財戦略とその具体的活用例」というテーマで講演されました。加藤氏は、富士通の知財本部長、富士通研究所の常務取締役、富士通総研の専務を経て、2010年にインテレクチュアル・ベンチャーズ社に入社されました。

プログラム6では、経済再生担当大臣甘利明氏の講演を予定しておりましたが、TPP閣僚会議が急遽、延長され、帰国できなくなってしまったため、AOSリーガルテックの佐々木隆仁社長が「デジタルフォレンジックと証拠調査」というテーマで講演されました。冒頭で甘利大臣に送っていただいたメッセージも紹介しております。

プログラム7では、元警視総監で東京オリンピック・パラリンピック競技大会組織委員会理事の米村敏朗氏が「危機管理とオリンピック〜想像と準備〜」というテーマで講演されました。

プログラム8では、AOSリーガルテックの佐々木隆仁社長が「最先端のリーガルテック®の活用と不正調査」というテーマで講演されました。

プログラム9では、カリフォルニア大学サンタバーバラ校教授の中村修二先生が「青色発光ダイオードの知財訴訟とノーベル賞」というテーマで講演されました。

そして、プログラムの最後のプレミアムワイン会では、クリスティーズでアジア人初のワインスペシャリストとして活躍された渡辺順子さんをお招きして、貴腐ワインとして、世界最高の評価を受けているシャトー・ディケムのヴィンテージワインを振舞っていただきました。

ワインスペシャリスト/渡辺順子

ワインスペシャリスト/渡辺順子

プレミアムワイン会

プレミアムワイン会

(リーガルテック®は、AOSテクノロジーズ株式会社の登録商標です)

マイナンバー制度の基礎知識と個人情報のセキュリティ対策

先日、赤坂と虎ノ門で「マイナンバー制度の基礎知識と個人情報のセキュリティ対策」と題するセミナーを開催しました。

赤坂会場の様子

赤坂会場の様子

 

虎ノ門会場の様子

虎ノ門会場の様子

講師は、社会保険労務士 松本力事務所代表 松本 祐徳氏です。

松本氏

マイナンバーというのは、税と社会保障対策、災害対策のために国民一人一人に番号を割り振り、納税実績や年金など社会保障の情報を一元的に管理する制度です。

マイナンバーについては、国民一人、一人が知っておかなければならないことがたくさんあります。マイナンバーは個人情報保護法の対象となりますが、法改正に伴い、取り扱いについても注意しないといけない内容があります。

マイナンバーの基礎知識

マインバーについての話を企業の方にお聞きすると、対応するのに負担ばかりがかかって、何のメリットもないという話を一番多く聞きます。お金がかかる、責任が重い、俺になんのメッリトがあるんだという声が上がっています。

マインバー制度も目的は以下のようなものです。

マイナンバー制度の目的

この中で一番言われているのが税と社会保障の公平性という点です。

今、世の中で何が起こっているかというと、少子高齢化の問題があります。2020年には、75歳以上の人口が65〜74歳の人口を上回るという統計も出ており、人口全体に占める65歳以上の比率も29.1%まで高まると予想されています。この少子高齢化の問題と、就職した人が3年以内に辞める確率も3分の1という話があります。リクルートの予測ですと、正社員になる人の割合が50%を切るような統計も出ています。社会保障のお金が全く入ってこない。枯渇していく。そんな中で、例えば、66万社の企業が社会保障の適応逃れをしている。そういう問題も全て、引っ括めて入っています。一番大事なことは、公平な社会を作る。その中でマイナンバーをやっていこうと。あとは、行政運営におけるIT化ですね。安倍政権は、2020年までに週に1日以上、終日在宅で勤務する「在宅型のテレワーカー」の比率を1割以上にするという目標を掲げています。このテレワーカとマイナンバーにも密接な関係があります。それと地方創生の声がかなり、聞こえてきていますが、地方創生にマイナンバーを活用しようという話もあります。地域の中でお金を使ってもらおう。そこでマイナンバーを活用しようと。そういう流れが出ています。

国民と公的機関の間だけではなく、マイナンバーを使えば、いちいち住所を書かなくても、番号だけをかければいいとか、色々なケースで利便性が高まります。一方で、何に使われている良くわからない、国民監視システムとか、これも良く言われていますが、国民一人ひとりがアクセスログを確認できます。自分が国からマイナンバーを使って見られているのかをマイポータルが実施されると分かるようになります。開示請求に対して、迅速に報告、そういう積極的な姿勢を国の方も取っていくということです。

社会保障・税・災害対策限定

マイナンバー制度は、社会保障・税・災害対策といった限られた分野だけに使われる制度であって、使いたくないじゃなくて、使わなければならない制度です。逆に言うと、使ってはならないところでは、使うということがあってはならない制度です。ですからマイナンバーを教えてくださいと言われた時に教えられる場面というのは19条に全て定められています。それ以外のところで人のマイナンバーを提供するというのはあってはならないということになります。この部分に関しては、マイナンバーの取り扱い従事者だけではなくて、一般の国民であったり、会社の従業員や経営者の方もチェックしておかなければならないということです。知らない間に番号法違反に当たるような行為をしてしまったとか、トラブルに巻き込まれるとか、そういうことが気を付けなければならない点です。これがマイナンバーの厄介な点です。もちろん、重複して、特定個人情報のマイナンバーの入ったファイルを手当たり次第、作っていくということに関しては、制限がかかります。利用目的がはっきりしない目的ではリストを作ってはならないとあります。たまに、個人情報を気にしない人からは、いいよ、記録してもと言われることもありますが、提供行為そのものが番号法違反に当たりますので、注意が必要です。

罰則

 

今回のマイナンバー制度では、安全管理施策の部分がかなり騒がれているようですが、漠然としていて、何をどうすればいいのか分からないという話をよく聞きます。お金がかかるばかりじゃないか、負担ばかりじゃないか。これは、私たち、社会労務士も同じような感覚で、どうしたらいいかやっぱり掴めないよという話がやっぱり出てきます。今回大事なことは、現在、国会の中で、個人情報保護法、番号利用法、どちらとも、改正法案が出ています。交付から2年後、個人情報保護法は、大幅に変わります。

コンピュターの情報システムを通じて連携、扱いの簡素化、書類の省略化などだが一番大きいのは、給付の不公平をなくしていくこと。国としては、一番問題を感じているのは、社会保険の適応逃れが66万社もある。国としては、これが一番問題だと感じている。マイナンバーの適応が始まるが、提供を拒否された場合に書けない理由を書けと言われた場合は、本人確認を厳格にすることになる。給付の不正受給もあるので、これも防止しておかなければならない。

地域の活性化というテーマもある。将来的には、民間のデータと行政データを集まると、ビジネス的な効果が7兆円にもなるという試算もある。経済的な発展性にも重きを置きましょう。一方では事業者に対する監督責任も果たしていきましょう。強制的にマイナンバーを利用しないといけない。住基ネットと同じでマイナンバーなんか誰も使わないよという人もいますが、今回のマイナンバーは、利用しなければならない。それを使う場面も限定的に明記されている。使ってはならない場面で使うことも違反になる。数多くのマイナンバーを管理する団体。大抵の企業は、自分たちの従業員分のマイナンバーを扱うだけですが、数多く扱う団体もあります

マイナンバーを数多く管理する団体

保険会社は、代理店を経由して営業しているので、マイナンバーを代理店からもらおうとする場合は、注意が必要です。プロスポーツなどは、申告書の7年間の保管義務が出てきました。

マイナンバーの保管をうまく考えながら、なるべく保管しない方法を考える方がいいでしょう。

本当にマイナンバーの利用頻度は低い。よく分からなくて困っている人に不安を煽ってやるのは良くない。媒体をなるべく分散させて保存しない方がいい。情報漏洩リスクとしては、瞬時に漏れる

ガイドラインでは、利用目的がなくなった個人情報は、極力消去してくださいと言っています。

個人番号カードの様式は、こんな感じになります。

個人番号カードの様式個人番号カード記載事項

個人番号カードへの記載事項はこちらになります。

 

番号変更について

 

番号の変更については、不正に用いられる恐れがあると認められるとき以外は、変更ができません。具体的には、詐欺や暴力など不正な目的で使用される場合に限定されます。

 

マイナンバーは、特定個人情報なので特別な扱いをするように細かく定められています。

特定個人情報とは、個人番号と、当該個人番号に対応する符号をその内容に含む個人情報のことです。

個人番号に対応する符号とは、個人番号に代わって用いられる番号や記号などで、住民票コード以外のものをいいます。ですから、事業者が守らなければならない番号法の保護措置は、個人番号に対応して、当該個人番号を一定の法則で変換した番号等を含めて適用の対象としています。

生存する個人の個人番号については、個人番号自体が基本4情報(氏名、住所、生年月日、性別)と紐付けられた住民票コードを変換して得られるものであり、個人番号は住民票コードを復元することのできる規則性を備えるものでないことが生成する際の条件の1

つとされていますが、特定の個人を識別することができるものであることと解されていることから、個人情報に当たり、特定個人情報に該当します。

特定個人情報ファイルとは、個人番号と、個人番号に対応する符号をその内容に含む個人情報データベース等のことです。ちなみに、個人情報データベース等とは、個人情報を含む情報の集合物であって

① 特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもの(システム用ファイル、その他電子ファイル)

② 集合物を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの(手作業処理用ファイル)となります。

 

すべて見せます、マイナンバー収集・保管の実務

六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。

第4部は、すべて見せます、マイナンバー収集・保管の実務 ~ クラウド型OBCマイナンバー収集・保管サービスのご紹介 ~というタイトルで株式会社オービックビジネスコンサルタント 坂口 晋一郎氏がご講演されました。

OBC坂口氏

OBC坂口氏

OBCのクラウド型のマイなバー収集・保管サービスを利用すれば、各自が自宅からスマートフォンで個人番号を入力してもって収集することもできます。もちろんパソコンに入力して収集することもできます。集めた個人番号は、クラウド上に保管されます。

OBC3P

 

マイナンバー対応のための安全管理システムの実装フロー

六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。

第3部は、TMI総合法律事務所 パートナー弁護士 大井 哲也氏が「マイナンバー対応のための安全管理システムの実装フロー」というテーマで講演されました。

TMI大井先生

TMI大井先生

つい先日、マイナンバー法が衆議院で可決されました。今年の10月1日からマイナンバーが国民に対して、通知されます。では、10月1日までにどういう仕事が発生するのか、どの部門で、どういうタイミングで何をすればいいのか、これが重要です。

個人が取得した個人番号を法定調書に記載して、行政機関等に提出するという行為のみが認められています。

まずは、個人情報保護法に基づく、安全管理措置を行っている筈なので、それと特定個人情報保護法に準じた安全管理措置とのギャップを埋めていくという作業を行います。これによって、マイナンバー法に基づく、会社の管理規定が出来上がります。この作業をやっていない会社は、まずは、そこから着手してください。今年の10月から個人番号の付番が、全国民に対して開始されます。本人確認のための書類で何を提出するのかなどといったものが10月1日には、完了して、システム上に乗っていないといけない。しかし、多くの会社では、これが行われていないというのが実情です。金融機関などは、対応が早く、システムの改修が済んでいるところもあります。まだのところは、誰が、どの分野を担当するのかという割り当てを行っている会社もあります。あまり、悠長に進めている場合ではないので、すぐに、実質的なフロー図の作成作業を開始してくださいという話をします。急にはできないというと、関係部署に対して、まずは、教育を行ってくださいという話になります。まずは、保護措置が何かということを理解してください。やるべきことは非常にシンプルです。次は、各部署のタスクの洗い出しをしてください。結局、マイナンバーをどこの書類に書けばいいのですか、それを網羅的に、抜けがないようにするにはどうすればいいのか。タスクの洗い出しを行うと、どれくらいの作業量があるのかが判明します。総務、経理、人事、情シスを集めた全体会議を開催する。安全、管理措置はどのレベルまでやればいいのかを決めていきます。体制整備ができたら、特定個人情報の組織的、技術的安全管理の方法の検討を始めます。例えば、どういう方法で暗号化するのか。操作ログはどこまで取ればいいのか。管理方法の選択をしていく必要がある。これらを決めたら、システムの実装作業に入りますが、これを行うためには情シスの協力が不可欠です。代替措置があるのか。情報システム部門で、この作業を行うと業務が止まってしまうので、無理だと言った場合に、これを検討します。

TMI8P

マイナンバー法に準拠した安全管理措置として、規定の整備作業を行います。どこの部門がマイナンバーを取得して、誰が、作業を行うのか。誰が見ても、その行動が分かるようなフローチャートを作る方が実務に役立ちます。レベルとしては、金融機関相当の質を目指してください。クレジットカード情報などを扱う場合と同じレベルの管理が必要となります。特定個人情報保護委員会というのが監督することになります。これは、公正取引委員会と同じ程度に権限を持った機関となります。これまでのように何か、個人情報漏洩があったら、監督官庁に報告すればいいですよねという状況ではなくて、何かあれば、立ち入り調査をする権限を監督機関が持つので、我々としても、より、きちんちとした管理体制の構築が必要となります。どういった事務が要求されているのか。法律に基づいた事務となるが、ぞれぞれの人事、労務部門の人が法定調書の洗い出しをまず、関係部門の人が行う。それ以外の部門にも法定調書の作成が必要となるので、その洗い出しも必要となります。例えば、一見するとマイナンバーに関係しなさそうな法務部門に対して、私が社内研修会の講師をすることになり、契約を交わすことになると、私のマイナンバーを取得する必要があります。それを聞く部門はどこでしょうか?おそらく、面識がない経理部門ではなくて、法務部門が外部委託して講師のマイナンバーを受領する必要があります。それでは、その受領したマイナンバーをどこに持っていけばいいですか。どう処理すればいいですかという話になります。社内の全体会議で話すだけではなくて、他部門の人にもこういう問題提起をして、漏れがないかの洗い出しを行います。チェックリストを作る際には、マイナンバー関連のウェブページに詳しい情報が記載されているので、それを参考に作業を進めてください。源泉徴収票のどこに記載するのかなどを具体的に定めていきます。まずは、支払い調書の雛形を集めてください。これは、監督官庁のサイトに雛形があるものとないものがあります。提出書類、提出者、提出先、根拠条文の洗い出しの作業を行います。

TMI15P

マイナンバーに関するガイドラインを手元に置いておいて、基本方針をまずは、策定する。個人情報保護方針の策定は、雛形を入手して、さっさと済ませてください。

これが規定の最上位のレイヤーとなります。

続いて、管理規定は、個人情報保護管理規定から漏れたものだけを記載してください。

マイナンバー法では本人確認というフローが入ってきます。従業員の源泉徴収票の作成をする場合に、取りまとめる方法はどうするのか。データを機関システムに入れておいていいのか。誰もがアクセスできるシステムに入れてしまえば、安全管理措置としては、非常に不適切です。実際の業務は、システムの中で行われるので、他社や他部門の担当者からアクセスできない方法で管理をする必要があります。入手から、法定保存期間が過ぎたあとの廃棄までのライフサイクルの全てのフローを作る必要があります。

TMI19P

マイナンバーを扱う担当者の人的安全管理措置も必要です。

TMI20P

組織的な安全管理措置も必要となります。

漏洩が起こった場合の、報告、連絡体制を定める必要がありますが、実際には、これは、ほとんど機能しないことが多くなります。なぜならほとんどの人は、こういう経験がないので、担当者がうまく対応することができません。こういう場合は、バイネームで経験のある人、処理ができる人の名前を記載しおくことが有効です。

ファイルは誰がアクセスして、誰がコピーしたのか、その記録をしっかりと取る必要があります。全て、監視されていますよ。誰がどういう挙動をしたのかを監視していると従業員に告知することが漏洩の抑止になります。マイナンバーの記載、データの保存は必要最低限に留め、必要がなくなった書類、データは、速やかに廃棄する。単発の契約を交わした場合は、との都度、マイナンバーを消去して、再度、取得をする方がいいでしょう。情報システム部門の誰が管理するのかは、バイネームで記載して、夜中でも何でも連絡が取れる方法を記載しておく。

TMI25P

物理的安全管理措置というのも法律に書いてあるから、言及しているが、実質的にはあまり、意味がない。

TMI26P

それよりは、電子媒体の盗難などの防止措置の方が重要となります。データベース全体がコピーされた場合はアラートが上がるなどの措置が有効となります。

TMI28P

今までの個人情報保護管理規定には、削除が記載されていなかったと思いますが、今回は、削除、廃棄についても記載する必要があります。

実務的な現場の話を中心に今回はお話しさせていただきました。

自主管理型に潜むワナ!?~ マイナンバー制度対応消去ソフトウェアの徹底活用による課題解決 ~

六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。

第2部は、「自主管理型に潜むワナ!?~ マイナンバー制度対応消去ソフトウェアの徹底活用による課題解決 ~」というテーマで、AOSリーガルテック株式会社 取締役 春山洋氏が講演しました。

AOSリーガルテック春山洋

AOSリーガルテック春山氏

AOSリーガルテック春山氏

マイナンバーの通知は、住民票に記載されている人に一斉に10月1日から送付されます。この通知カードを持って、市役所に行くと、個人番号カードを作ることができます。このカードには、氏名と裏には、マイナンバー、12桁の個人番号が記載されます。この番号は、一人、一人の個人が特定できる番号となります。

AOS3P

このマイナンバーは、会社に提出が必要となります。会社は、このマイナンバーを元に源泉徴収票を作成することになります。マイナンバーは、外部業者にも渡ることになりますのが、そこで情報が漏洩した場合には、委託元の会社にも責任が及びます。

AOS4P

 

マイナンバーは、クローズドな環境で扱われる必要があります。マイナンバーを取り扱う人を特定して、その人をしっかり管理する必要があります。監視カメラなども設置して、取り扱いを厳格に管理する必要があります。会社の中のマイナンバーは、Excelの中、手書きの伝票などになりますが、ここから情報が漏洩すると罰則があるということになります。例えば、退職した人のマイナンバーは、削除する必要がありますが、復元できない形で専用の消去ソフトを使って、消去する必要があります。紙に記載されている場合は、シュレッダー等で処理する必要があります。同じように電子データの場合は、電子データシュレッダーソフトで消去する必要があります。

特定個人情報を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する必要があります。

AOS8P

情報漏洩がどこから起こっているかという統計がありますが、実は、紙から漏洩するケースは、3.6%程度です。ほどんどの情報漏洩は、電子媒体から漏洩しています。

個人情報漏洩の原因は、管理ミス、誤操作、紛失などが全体の87%を占めています。従って、ハードディスクやUSBメモリなどの電子メディアに残された機密データを日々、完全に消去することで、情報漏洩のリスクを軽減することができます。

AOS9P

こちらは、ファイル消去ソフトがどうやってデータを消去するかを説明した図です。ファイルを削除しただけでは、システム領域、管理領域にデータの痕跡が残っています。ファイル消去ソフトは、その領域を消去することで完全にデータを消去することができます。

電子データシュレッダー ファイル消去には、スケジュール抹消という機能があり、これを使うことで、定期的にデータの痕跡を消去することができます。

AOS11P

コンピューターの中のデータは、削除して、ごみ箱を空にしても残っています。電子データシュレッダー ファイル消去を使えば、これを完全に消去することができます。

 

マイナンバー導入後のIT社会の未来図と予測できるITリスク

六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。

第1部は、新日本有限責任監査法人 プリンシパル 公認情報システム監査人 米国公認会計士 清水 健一郎氏が「マイナンバー導入後のIT社会の未来図と予測できるITリスク」というテーマで講演されました。

新日本監査法人清水氏

新日本監査法人清水氏

マイナンバーの利用可能分野は、社会保険分野では、年金、労働、福祉、医療、税分野、災害分野に限定されており、それ以外は目的外利用として制限されています。企業側から見て影響を受ける主要業務は、人事給与業務、契約に基づく取引業務、金融取引業務となります。金融取引業務は、金融系の企業でなければ、関係ないかもしれませんが、個人で口座を持っている人は、マイナンバーを金融業者に提供する必要が出てきます。

マイナンバー法の影響を受ける業務としては、例えば、源泉徴収票のサイズが大きくなり、そこにマイナンバーを記載する欄が追加されます。マイナンバーは、目的外の利用が本人の同意があっても、原則禁止となっていますので、注意が必要です。廃棄規制というものガイドラインで定められています。マイナンバーを使わなくなったら、使用できないレベルで廃棄することも記載されています。今までは、倉庫に入れて、古いものは、いらなくなったら捨てるという運用をされていた会社もありますが、もっと、厳格な管理が必要となります。

マンナンバー法違反に対する罰則も個人情報保護法よりも強化されています。このリスクも企業は想定して、管理措置を取らないといけなくなります。

民間事業者に求められる対応作業は、関係部門で多岐に渡るので、部門間で横断的な対応ができるようにする必要があります。

まずは、部門の関係者を全部集めて、キックオフをして、来年の利用開始を見据えて、いつまでにマスタースケジュールを作るかを決める必要があります。マイナンバーの取得から、それに関わる業務まで、社内規定もそれに合わせて、書き換える必要があります。従業員の教育と、対応できる組織体制の変更も必要となります。どれくらいの改修が必要なのかを調査した上で、システム等の改修作業を行うことになります。

人事部、経理部、システム部、総務部、企画部などで横断的に対応が必要となります。実際には、人事給与規定、経理規定、総務規定、情報管理規定などの書き換えが必要となります。

従業員等からのマイナンバーの取得イメージはこちらになります。

EY10P

事務作業手順は、以下の通りです。

EY11P

EY12P

こちらの図は、マイナンバーデータベースが外部にあることを想定した場合のシステムを表しています。

これらのことを整理してまとめた内容がこちらです。

EY13P

クラウドソリューションを使う場合にも、マイナンバーが適切に管理されているかを確認する必要があります。

ここまでは、現在必要とされる対応業務について説明しましたが、将来、予想されるマイナンバーの利用領域は、こちらになります。

EY15P

海外でマイナンバー制度と似たような制度を導入している国は、以下の通りです。

EY16P

一番、有名なのは、アメリカの社会保障番号制度ですが、こちらは民間利用も認めており、色々と被害も出ていて、その損害額は、年間で500億ドルとの試算もあります。

アメリカでは、他人のソーシャルセキュリティ番号を利用して、パスポートを偽造するといった事件も起こっています。

EY17P

同じく、アメリカで、ハリケーンの被害者が失業給付金を二重に受給していたという事件が起こりました。

EY18P

3番目に紹介するのは、年金、および、医療給付金の不正受給です。

EY19P

このように多くの犯罪者がマイナンバーを狙っているということです。

ITイノベーションは、様々な領域でパラダイムを変えている。2020年までにネットにつながるセンサーは、500億個にも上ると予想されています。

EY21P

プライバシーに影響を与えるデジタル・トレンドも意識しておく必要があります。プライバシーそのものをシステムが管理する時代が来つつあるということです。

すでに世界各国では、行動履歴などもパーソナルデータとして、保護の対象となりつつあります。

EY23P

今までは、企業の中と外という形で説明しましたが、これからは、外と中という境界線はなくなっていくことが予想されます。サイバー犯罪が急増しており、今では、組織的な攻撃がどんどんエスカレーションしています。個人情報がお金になるということで、個人情報を持っている全ての個人が攻撃の対象となっています。日本企業の70%が今のままでは、攻撃を検知できないと回答しています。

EY26P

それに対して、グローバルで、約半数が予算不足、スキル不足を感じているとのことです。

EY28P

ITリスクに対応するには、先手を打つことが重要です。

EY31P

今後は、プライバシー、セキュリティ、不正に関する機能は、統合していく必要があります。

EY32P

 

 

 

マイナンバー対策セミナー  〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜

六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。

マイナンバーセミナー会場の様子

マイナンバーセミナー会場の様子

第1部は、新日本有限責任監査法人 プリンシパル 公認情報システム監査人 米国公認会計士 清水 健一郎氏から「マイナンバー導入後のIT社会の未来図と予測できるITリスク」というテーマでお話しがありました。

新日本監査法人清水氏

新日本監査法人清水氏

マイナンバーの利用可能分野は、社会保険分野では、年金、労働、福祉、医療、税分野、災害分野に限定されており、それ以外は目的外利用として制限されています。企業側から見て影響を受ける主要業務は、人事給与業務、契約に基づく取引業務、金融取引業務となります。金融取引業務は、金融系の企業でなければ、関係ないかもしれませんが、個人で口座を持っている人は、マイナンバーを金融業者に提供する必要が出てきます。

マイナンバー法の影響を受ける業務としては、例えば、源泉徴収票のサイズが大きくなり、そこにマイナンバーを記載する欄が追加されます。マイナンバーは、目的外の利用が本人の同意があっても、原則禁止となっていますので、注意が必要です。廃棄規制というものガイドラインで定められています。マイナンバーを使わなくなったら、使用できないレベルで廃棄することも記載されています。今までは、倉庫に入れて、古いものは、いらなくなったら捨てるという運用をされていた会社もありますが、もっと、厳格な管理が必要となります。

新日本監査法人清水先生のセミナー内容はこちら

 

第2部は、「自主管理型に潜むワナ!?~ マイナンバー制度対応消去ソフトウェアの徹底活用による課題解決 ~というテーマで、AOSリーガルテック株式会社 取締役 春山洋氏が講演しました。

春山2

特定個人情報の適正な取り扱いに関するガイドラインには、「保管期間を経過した場合、個人番号をできるだけ速やかに復元できない手段で消去または廃棄すること」と記載されています。

電子データはPCのゴミ箱に入れるだけでは消去したことになりません。これらの取り扱いに対応したソリューションをご紹介しました。

AOSリーガルテック春山氏のセミナー内容はこちら

 

第3部は、TMI総合法律事務所 パートナー弁護士 大井 哲也氏が

TMI大井先生

TMI大井先生

マイナンバー対応のための安全管理システムの実装フローというテーマで講演されました。

本年2015年10月以降、マイナンバーが、個人に通知され、来年2016年1月から事業者において、現実にマイナンバーの利用が開始されます。そのため、事業者は、遅くとも2015年の秋頃までに、個人番号の提供を受けるための事業者向けガイドラインに準拠する番号管理の業務フローを確立し、かつ、社内規程、システム管理を含めた安全管理措置を導入しておく必要があります。加えて、2015年秋頃から、2015年の年末までにこの業務フローを、番号管理のための社内研修を実施しながら、システム管理のテスト運用を開始しておく必要があります。本セミナーでは、現時点から、2015年秋頃までのわずか半年間に、事業者が採るべきタスクを洗い出し、それを実装するフローを解説されました。

TMI法律事務所大井先生のセミナー内容はこちら

 

第4部は、「すべて見せます、マイナンバー収集・保管の実務 ~ クラウド型OBCマイナンバー収集・保管サービスのご紹介 ~というテーマで株式会社オービックビジネスコンサルタント 坂口 晋一郎氏が講演されました。

マイナンバー収集・保管・利用・廃棄の流れをクラウド型サービスで実現。導入の第2フェーズ、運用の第3フェーズで実際に何をすべきか?「マイナンバー収集・保管サービス」の実演を通じて、詳しくご紹介しました。

OBC坂口氏のセミナー内容はこちら