「ベンダーや社労士事務所、法律事務所もビジネスチャンスとばかりに煽っている」。ITproが11月末に実施したアンケートでは、企業の担当者からこんな回答が寄せられた。企業が求める対応方法に対して、情報セキュリティ策を売り込みたいベンダーなどとの間には認識のずれがある。企業がどう判断したか実情を聞いた。
「監視カメラ付きの閉鎖部屋を用意」との売り込みも
大分県に本社を構えるソフトウエア開発会社SCP.SOFTの秀嶋哲郎社長は2015年3月からマイナンバー関連のセミナーに参加して、準備を進める必要を痛感していた。ところが、地元で開催されたセミナーでは、ベンダーが「マイナンバーが漏れたら大変だと、煽るだけ煽っていた」と振り返る。
同社は市販されている会計ソフトと連動するパッケージソフトやシステム開発を手がける。パートを含めて従業員は40人。中小企業であっても、従業員らのマイナンバーを管理しなければならない。販売するパッケージソフトでも、マイナンバーを適切に扱う仕組みの構築を迫られていた。
例えば、特定個人情報保護委員会が公表しているガイドラインは、企業に対してマイナンバーを含む個人情報である「特定個人情報ファイル」を扱う情報システムの管理区域や、事務の取り扱い区域を明確にするよう求めている。
ところが、ベンダーの中には「マイナンバーを扱うパソコンを閉鎖した部屋に置き、監視カメラを設置しなければならない」として自社製品を売り込む例もあった。秀嶋社長は「そこまでやらないといけないのか」と悩んだ。当時は、マイナンバーを扱うシステムにどれほど資金を投入しなければならないのかも分からなかったという。
コンサルティング会社に「落としどころ」の指南を受ける
秀嶋社長は悩んだ末に、情報セキュリティコンサルティング会社のLRMに依頼してマイナンバー対応を進めることにした。「どこまで対応すればいいのか、落としどころを指南してもらった」(秀嶋社長)という。
