マイナンバー制度が始まると、中堅・中小企業もマイナンバーを取り扱うことになります。マイナンバーは個人情報の一部ですので、取り扱いに際しては情報漏洩防止策などの措置を講じることが求められ、罰則も設けられます。つまりマイナンバー対応には、セキュリティも関係しています。
とはいえ、マイナンバー対応のためのセキュリティ対策として何から手をつけたらよいかが分からないIT担当者も、いるかもしれません。その場合は、最初に何を考えたり決めたりするとよいのでしょうか?
セキュリティの基本方針は決まっているか
企業は、情報セキュリティに関して「どこまでの業務範囲をセキュリティで守るのか」「責任を持つ部署と担当者は誰か」といった方針を明確にすることが重要です。これによって、有事の際に対策を打てるようにするのです。この方針は一般的に、「情報セキュリティポリシー」と呼ばれます。
マイナンバー対応のためのセキュリティ対策の考え方も当然、情報セキュリティポリシーに含まれます。ですので、何をすべきかわからず、自社に情報セキュリティポリシーが存在しないならば、最初にこれを作ることをお勧めします。漏れのないポリシーを作るには、コンサルサービスなどを使うのも手です。
情報セキュリティポリシーを作るには、まず業務を洗い出すことが必要です。そして洗い出した業務に対して、コストとリスクの兼ね合いを見ながら、どこまでセキュリティで守っていくかを考えます。これは、業種や企業規模などによって変わってくるでしょう。