日経BPコンサルティングは2015年9月1日、「マイナンバー対応と情報セキュリティに関する調査」の結果を発表した。「従業員の退職後には、原則7年後に個人番号を廃棄する必要がある」の認知度が18.9%にとどまるなど、セキュリティ関連の認知が不十分であることが判明した。
調査は2015年6~7月に実施し、従業員数規模が300人以上の企業の情報システム部門の所属者から498件の回答を得た。結果は「IT部門のためのマイナンバー対応白書2015-2016」にまとめた。
認知度が1~2割台だったのは、ほかに「個人情報保護法では『5000件以下の個人情報の保有者』は対象外だが、マイナンバー制度では対象外ではない」(24.7%)、「行政機関や勤務先など、社会保障、税、災害対策の手続きに必要な場合などを除き、他人に個人番号の提供を求めてはならない」(26.3%)など。
「法律や条例で決められている手続きで行政機関や勤務先などに個人番号を提供する際は、本人確認を義務付けている」(26.5%)といった、制度の根幹に関わる項目の認知度も低いとしている。
調査では、特定個人情報保護委員会が公表したガイドラインにある「組織的・物理的・技術的安全管理措置として想定される手法」について、「実施済み」か「検討中」かを尋ねた(図)。技術的安全管理措置の「ウイルス対策ソフトの導入」は9割近くが実施済みなのに対し、組織的安全管理措置の手法の5項目は全て「実施済みが少なく、検討中が多い」という結果だった。
組織的安全管理措置は、「特定個人情報ファイルの削除・廃棄の記録」「特定個人情報ファイルの利用・出力状況の記録」「特定個人情報ファイルの取扱担当者のシステム利用状況の記録」「特定個人情報の取扱状況についての監査」「媒体の持ち出しの記録」の5項目。「特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定すること」といった特定個人情報の取り扱いに関する項目でも新規着手を検討する企業が多いという。
調査結果は、日経BP社が主催するICT分野の総合展示会「ITpro EXPO 2015」で開催するセミナーで解説する。
[発表資料へ]
