マイナンバー導入後のIT社会の未来図と予測できるITリスク

六本木ヒルズで「マイナンバー対策セミナー? データ管理に対するITリスク増大、部門横断的に乗り切るには?」が開催されました。第1部は、新日本有限責任監査法人プリンシパル公認情報システム監査人米国公認会計士清水健一郎氏が「マイナンバー導入後のIT社会の未来図と予測できるITリスク」というテーマで講演されました。

7035909f0946f5957e619089f95df026.png

新日本監査法人 清水氏

マイナンバーの利用可能分野は、社会保険分野では、年金、労働、福祉、医療、税分野、災害分野に限定されており、それ以外は目的外利用として制限されています。企業側から見て影響を受ける主要業務は、人事給与業務、契約に基づく取引業務、金融取引業務となります。金融取引業務は、金融系の企業でなければ、関係ないかもしれませんが、個人で口座を持っている人は、マイナンバーを金融業者に提供する必要が出てきます。

マイナンバー法の影響を受ける業務としては、例えば、源泉徴収票のサイズが大きくなり、そこにマイナンバーを記載する欄が追加されます。マイナンバーは、目的外の利用が本人の同意があっても、原則禁止となっていますので、注意が必要です。廃棄規制というものガイドラインで定められています。マイナンバーを使わなくなったら、使用できないレベルで廃棄することも記載されています。今までは、倉庫に入れて、古いものは、いらなくなったら捨てるという運用をされていた会社もありますが、もっと、厳格な管理が必要となります。

マンナンバー法違反に対する罰則も個人情報保護法よりも強化されています。このリスクも企業は想定して、管理措置を取らないといけなくなります。民間事業者に求められる対応作業は、関係部門で多岐に渡るので、部門間で横断的な対応ができるようにする必要があります。

まずは、部門の関係者を全部集めて、キックオフをして、来年の利用開始を見据えて、いつまでにマスタースケジュールを作るかを決める必要があります。マイナンバーの取得から、それに関わる業務まで、社内規定もそれに合わせて、書き換える必要があります。従業員の教育と、対応できる組織体制の変更も必要となります。どれくらいの改修が必要なのかを調査した上で、システム等の改修作業を行うことになります。

人事部、経理部、システム部、総務部、企画部などで横断的に対応が必要となります。実際には、人事給与規定、経理規定、総務規定、情報管理規定などの書き換えが必要となります。
従業員等からのマイナンバーの取得イメージはこちらになります。

EY10P

事務作業手順は、以下の通りです。

EY11P
EY12P

こちらの図は、マイナンバーデータベースが外部にあることを想定した場合のシステムを表しています。
これらのことを整理してまとめた内容がこちらです。

EY13P

クラウドソリューションを使う場合にも、マイナンバーが適切に管理されているかを確認する必要があります。
ここまでは、現在必要とされる対応業務について説明しましたが、将来、予想されるマイナンバーの利用領域は、こちらになります。

EY15P

海外でマイナンバー制度と似たような制度を導入している国は、以下の通りです。

EY16P

一番、有名なのは、アメリカの社会保障番号制度ですが、こちらは民間利用も認めており、色々と被害も出ていて、その損害額は、年間で500億ドルとの試算もあります。
アメリカでは、他人のソーシャルセキュリティ番号を利用して、パスポートを偽造するといった事件も起こっています。

EY17P

同じく、アメリカで、ハリケーンの被害者が失業給付金を二重に受給していたという事件が起こりました。

EY18P

3番目に紹介するのは、年金、および、医療給付金の不正受給です。

EY19P

このように多くの犯罪者がマイナンバーを狙っているということです。
ITイノベーションは、様々な領域でパラダイムを変えている。2020年までにネットにつながるセンサーは、500億個にも上ると予想されています。

EY21P

プライバシーに影響を与えるデジタル・トレンドも意識しておく必要があります。プライバシーそのものをシステムが管理する時代が来つつあるということです。
すでに世界各国では、行動履歴などもパーソナルデータとして、保護の対象となりつつあります。

EY23P

今までは、企業の中と外という形で説明しましたが、これからは、外と中という境界線はなくなっていくことが予想されます。サイバー犯罪が急増しており、今では、組織的な攻撃がどんどんエスカレーションしています。
個人情報がお金になるということで、個人情報を持っている全ての個人が攻撃の対象となっています。日本企業の70%が今のままでは、攻撃を検知できないと回答しています。

EY26P

それに対して、グローバルで、約半数が予算不足、スキル不足を感じているとのことです。

EY28P

ITリスクに対応するには、先手を打つことが重要です。

EY31P

今後は、プライバシー、セキュリティ、不正に関する機能は、統合していく必要があります。

EY32P