米国に学ぶマイナンバー漏えいリスクに関する教訓
このためマイナンバー制度の開始に向けて、ほとんどの企業でセキュリティの強化が必須になるわけですが、もちろんセキュリティにかけられる予算が無尽蔵にある企業はありません。
ですから、「マイナンバーを含む特定個人情報を漏えいしたら、我が社はどれくらいの被害を受けるのか」――。自社が被る可能性があるリスクを評価したうえで、そのリスクに見合ったセキュリティ投資を行っていくというのが、基本的な考え方になります。
では、どのような視点でリスク評価を行えばいいでしょうか。社会保障番号制度の開始から80年が経つ米国では過去幾度も漏えい事件が起きており、この点においても教訓を得られます。
例えば、ある米国企業は2014年に約10万件の社会保障番号を盗まれました。これを受けて、米連邦取引委員会(FTC)が調査を開始。情報漏えいが起こった時点で、その企業は十分なセキュリティ対策を講じていなかったことが判明し、50万ドルの罰金を科されました。しかし、罰金自体は大した痛手ではなかったといいます。
「その企業は、国民の信頼感を相当大きく損なってしまった。企業が最も重視しなくてはならないのは、ブランドイメージの低下だ」(シモンズ氏)
日本のマイナンバー法でも罰金等の罰則は規定されていますが、やはり一番大きなリスクは社会的信頼の損失です。ですからリスク評価を行う際には、社会的信頼の低下が業績にどのような影響を与えるかについて、特に留意すべきです。その影響の大きさは当然、企業規模や業種、取引先の傾向などによって、それぞれです。
また、万一、標的型攻撃などによりマイナンバーが漏えいしてしまった時、社会的信頼をどれくらい失うかは、適切に対策していたかどうかにも左右されます。
どんなに情報漏えい対策にお金を投じても、100%の安全は残念ながら得られません。しかし、結果的に標的型攻撃などによる情報漏えいは防げなかったとしても、適切にセキュリティ対策を実施していたことは、最も重視すべき社会的信頼を守るうえで無駄とはなりません。
こうした点を踏まえて自社のリスクを評価し、投資対効果も考えながら、企業はマイナンバー制度の開始に向けて、セキュリティを強化していく必要があります。IT担当者は本当に大変ですが、そこで次回の後編ではマイナンバーなどの重要情報を守るのに特に有用なセキュリティソリューションについて紹介することにします。