今回は、中小企業におけるマイナンバーの運用についてお話ししたいと思います。
セキュリティ対策全般にも言えますが、マイナンバー対応は「1回実行して終わり」ではありません。きちんと運用できているどうかを検査するような仕組みを、中小企業でも設けることが必要です。例えば今年マイナンバーのためのセキュリティ対策をして、10年後に流出が起こったとします。その10年間、同じシステムを改善せず使い続けていたら、どうなるでしょうか?
ガイドラインには「同じシステムを使い続けていた場合は罰則になります」とは書いてありません。しかしガイドラインが改訂されたとき、あるいは情報流出があったときは、システムを改善せず使い続けていた点を突っ込まれる可能性があります。
きちんと運用することは、簡単ではありません。例えば、よく使われるツールは時代によって変わります。現在はメールの文化ですが、今後それがSNSになり、LINE的なものになっていくかもしれません。そうすると、通知カードの本人確認書類はメールではなく、LINEで送られてくるようになるかもしれません。そうなると、運用も変えなくてはなりません。つまりPDCAのサイクルに合わせて、運用規定も書き換えていく必要があるのです。