マイナンバーのリスクが絶対にゼロにならない理由　危機管理のプロが教える人的対策の必要性

組織的・技術的・物理的な安全管理

脇貴志氏：そして、残念なお知らせが1つあります。皆さんがどのように準備したとしても、皆さんの施設からは漏洩する可能性は絶対にゼロにはなりません。それは、リスクは絶対ゼロにはならないからです。特にこの場合、特定のリスクがゼロにならない可能性があるんですよね。

特定のリスクがゼロにならない可能性があるんですが、それでもゼロに近付けていかないといけないから、どういうふうな対策をしなければいけないのかと言いますと、要は、事業者に求められる安全管理措置に関して4つのものが求められています。これはどこの参考書を見ても書いてございます。

まず、組織的な安全管理というのは、「園内ルールの作成と、役割分担の徹底をしておきましょうね」ということなんです。つまり特定個人情報、いわゆるマイナンバーに触れていい人と、触れちゃいけない人っていうのを分けておきましょうねという話なんですね。

そして、園内のルールはきちっと作っておきましょう。園内のルールということは、これは組織のルールですから、きちっと作っておきましょうねということですね。

技術的な安全管理措置というのは、例えばパソコンのアクセス制限。さきほど言ったような暗証番号とか、クラウド上のセキュリティであるとか、そういうふうなものはきちっとしておきましょうねというもの。これは技術的な話です。

そして今度、物理的な安全管理として、例えばマイナンバーを記しているものは「鍵付きのキャビネットを購入して、必ずそこに入れる」という話なんですね。

マイナンバーでは人的安全管理がポイントになる

皆さん、個人情報保護法が施行された時と、ほとんど同じようなことを言われているでしょ？　実際ほとんど同じことなんですよ。私、立ち読みも含めれば100冊以上のマイナンバーに関する本を読み漁りましたけれども、その中で一つ、違いに気づいたんです。

個人情報保護法が施行された時も個人情報の守り方のセミナーをやっていましたけど、その時とマイナンバーの時と、本の内容で、すごく変わっている点が一つあったんです。それが何なのかっていうと、この「人的安全管理」「継続的な従業員の監督・教育」というところを、どの対策本も前面に押し出していた。

もう1回言います。どの対策本も、組織的安全管理措置、技術的安全管理措置、物理的安全管理措置という、行政が使っている単語をそのまま使っています。

ですから、組織的安全管理措置を取ってください、技術的安全管理措置を取ってください、物理的安全管理措置を取ってください、そして最後に人的安全管理措置を取ってくださいという話なんですが、個人情報保護法の時には、技術的安全管理措置、例えばパソコンはこうしましょうとか、あるいは物理的安全管理措置、鍵付きキャビネットを買いましょう、机と机の間についたてを立てましょうとか、そういうふうなことが前面に出ていたんですが、マイナンバーに関しては、人的安全管理措置が前に出てきた。

なぜかというと、私が先ほど申し上げましたように、皆さんがどれだけ真剣にやろうが、どれだけきちっとした厳格なことをやっていこうが、結局、情報を漏洩させるのは人なんですよ。

どんなシステムがあっても人がダメならダメになる

ベネッセさんの話はこの後しますけれども、あそこがセキュリティにまったくお金をかけていなかったと思いますか？　ベネッセさんほどの大きなところが「セキュリティにかけるお金が年間10万円です」という話だったと思いますか？

絶対違いますよ。システムの構築にしても管理にしてもセキュリティにしても、すべてまとめたら、完全に勘で言うのでわかりませんが、数十億円使っていると思いますよ。でも、漏洩するんですよ。1人の人間によって。

だからマイナンバーに関して対策を考える方々は、「結局人なんだよね」というところに結論がいっているわけです。これは危機管理学的に、とても正しい結論です。

ですから保育園の危機管理というと、「監視カメラを買えばいいんじゃないか」とか、「園児の登校園のなんかシステムを買えばいいんじゃないか」とか、そんなことで「わあーっ」と言うんですが、結局は人なんですよ。

どんなシステムがあろうと、人間がだめだったらだめなんです。つまり、危機管理とは、人材育成なんです。これはすごく大切な話だと思います。

そうなった場合に、人的安全管理措置とは何なのか。すごくほわーんとした結論を言って終わるんですが、この人的安全管理措置とは、個人個人に正しい倫理観を植えつけるということです。正しい倫理観とは、「やっていいことと、やっちゃいけないことの見分けがつくようにしておきましょう」という話です。

内部からの漏洩対策にキチッとした教育を

ここは、ものすごく大切な話だと思います。危機管理にしてもコンプライアンス体制にしても、まずはここから始まるんです。だから個人がきちっとした正しい倫理観を持っていなければ、どんな方法をやったとしても無駄なんですよ。

逆にいうと、人というのは正しい倫理観を持つことがなかなか難しいから、だったら、「もうすべての人間を疑ってアクセス制限しちゃえばいいじゃないか、こういうふうなシステムにしちゃえばいいじゃないか」という話なんですよね。

ただ、外部からのアタックに関してはそれでいいと思いますが、内部からの漏洩に関しては、きちっと教育をしていくことが大切なんじゃないのかなというふうに思います。

これで前半の問題の発見は終わりです。後半は事故事例を見ながら、実際に起こり得る事故事例ってどういうことがありますねとか、「これは事故が起きる前に前提として知っておかなければいけませんよ」ということをお話ししたいと思います。

では、前半は以上で終わりです。ありがとうございました。

（拍手）

マイナンバーの出現によって、個人情報の取り扱いも厳格に

脇：それでは続きなんですけれども、今休み時間中にもお話ししたんですが、マイナンバーに関しては非常にシンプルかつ単純なので、きちっと集めましょう、きちっと管理しましょう、保存期間が終わったらきちっと廃棄しましょう。それでいいんですよ。ですから、それは別にそんな大仰な話ではないです。

「ただし」なんですよね。「ただし」がありまして、「ただし」これからお話しすることに関しては、ちょっと意味合いが変わってくるのかなと思うんです。

「ただし」とは何なのかといいますと、ちょっと分かりづらい話というか、理解しづらい話だと思います。マイナンバーの出現によって、個人情報全体の取り扱い方に対する意識も変わるということです。

もう1回言いますね。マイナンバーの個人情報保護法というのがあって、個人情報の取り扱い云々……というのがありましたよね。ですから、マイナンバーの出現によって、個人情報の取り扱い方も厳しく見られるようになるでしょうね、という話なんです。

それがどうしてなのか、という話から始めます。どうしてなのかと言いますと、個人情報保護法とマイナンバー法の比較表がありますけれども、ここは「あぁ、そうなの」というふうに聞いていただければ結構です。

まず、対応する情報に関して。マイナンバー法というのは、これは個人の番号なんですね。先ほど言ったように、個人の12桁の番号。これがマイナンバーで、「ちゃんと管理しなさいよ」と言われているものです。

そういう意味では、みなさんがお金を支払う従業員の方々の12桁の番号を適切に集めて、適切に保管をして、適切に使用をして、そして適切に廃棄すれば、問題ないんです。

ですが、個人情報保護法になってくると、「生存する個人に関する情報は全て」という話になります。もう一度言いますよ？　この個人情報保護法というのは、今はけっこう社会に根付いてきていて、「きちっとやってくださいね」という話になっているんですが、もう一回、個人情報保護法に関する気運というか、エネルギーというか、意識のようなものが、さらに厳しくなると考えたほうがよろしいのかなと思います。

個人情報保護法とは何か

本来は、「これ、マイナンバーの管理に関してだけ言われてることでしょ？」という話なんですが、世の中はそういうふうに見ないので、「個人情報全体に関しても、そうできなきゃダメじゃん」という話なんです。

たとえばどういうことなのかと言うと、「私たちの保育園・幼稚園から漏洩したのは、特定個人情報じゃなくて、個人情報保護法上の個人情報ですから、そこは特定個人情報を漏洩したみたいに騒がないでください」と言っても、騒ぐんですよ。

「そこは意識を変えておいたほうがいいですよ」という話なんですね。つまり、きちんと別々に判断してくれない、ということです。そこが、このマイナンバーに関する一番の危機です。

そして対象に関しては、これまでは個人情報取扱事業者という方が……いいですか、ここ、みなさん改めて認識していただきたいんですが、個人情報保護法って、個人情報取扱事業者に対して課せられた義務なんですね。

では、個人情報取扱事業者とはどういう事業者のことをいうのかというと、過去半年間において5000を超える個人情報を一度でも持ったことがある人。要は、過去半年間の時点において、一回でも5000人以上のデータを持ったことがある人は、個人情報取扱事業者です。

その個人情報取扱事業者の方々は、個人情報保護法に則って、個人情報を保護してくださいという法律なんですね。

もしも児童管理表を紛失したら……

でもみなさん、ここまで聞いてお分かりになったでしょ。「え、でもうち、5000人なんていないけど、個人情報保護法やってるよ」というところばかりじゃないですか？　それなんですよ！

法律の内容とか、概要とかいうよりも、社会が何を求めるかのほうが重要なんですね。そして、いいですか。ここは重要なんですけれども。

みなさんのところから個人情報が流出しました。たとえば、園児の帳簿……それはおかしいですね（笑）。園児の、児童管理表を作っておいて、保育士さんがそれを帰って処理しようとして、帰りにスーパーに寄ったら、スーパーで車上荒らしにあって、表が入ったものまで全部持って行かれた、と。

これは個人情報の漏洩ですよね。そのときに、みなさんが保護者会の方々に、「みなさん、慌てず騒がず聞いていただきたいのですが、我々の法人は個人情報取扱事業者じゃないんです。だから個人情報保護法に関しては、規制を受けないところなんです」と言って、それは通ると思いますか、という話なんです。通らないでしょ？

つまり、私が言ってることはそういうことなんですよ。全然マイナンバーと関係ない個人情報保護のところが感化される。それはどうしてなのかというと、個人情報に関しては、個人情報取扱事業者、つまり5000件というのがひとつの線として引かれていたんですが。

これ見て。マイナンバー法の場合、マイナンバーを扱う事業者すべてなんですよ。たとえば、私が今の会社でバイトさんを1人雇ってやっているとしますよね。そうした場合、うちはそのバイトさんに給料を払わなければいけないから、マイナンバーを1件だけ預かりますよね。でも、これも対象になるんですよ。

つまり、厳格化されているという話なんですね。マイナンバーを扱う事業者はすべて対象になってきますから、厳しくやらなければいけない。いいですか。預かって、適切に管理して、期間が過ぎたら適切に廃棄すればいいんですね。ただそれだけの話だから、別に問題はないんですよ。

ただし、みなさん考えてみてください。3年後からは、この対応の範囲がどんどん広がるんですよ！　要するに、3年間はお試し期間で、税金の部分と社会保障の部分だけ先にやっといてあげるから、手続きに慣れてくださいね。それ以降は、じゃんじゃん広がっていきますからね、という話なんです。

だから逆に言うと、マイナンバーを扱う事業者すべてにまで広げておかないと大変なことになりますよね、という話なんですよ。今、目の前のことだけ考えてみれば、たかだか点の話だから。別に大きな話ではないわけです。これやっときましょうね、あれやっときましょうね、と。

マイナンバー問題は「信用リスク」

規定と言っても、「この規定作っときゃいいんじゃないですか？」というのが、形だけでもあればいい話です。

ただし実態が伴わなければ、世の中の意識というのは少し変わってるから、かなりの信用失墜が起こってくるのではないのかと思います。あとで詳しくお話ししますけれども、信用の失墜です。失落です。

だから私、危機管理の専門家としてみれば、マイナンバーというのは、「結局これは何リスクなんですか？」と聞かれたら、「信用リスクです」と答えると思うんです。要は、みなさんの法人自体の信用がかかっているリスクなんじゃないのかなと思います。

もう一度申し上げますが、マイナンバーというのは、まず取り扱う対象者のレベルを少し下げています。これは全事業者対象になっています。ようやく全員参加で始まりますよ、という話なわけですね。

そして、もう一回言いますけれども、特定個人情報だけがマイナンバー法の対象になってくるんですけど、個人情報のほうにも大きく影響を及ぼしてくると思います。だから、これから情報漏洩という話になった場合に、それが特定個人情報だろうが、そうでなかろうが、大きく扱われますよ。

そういうことを前提として、どういうふうに事故の対応をしておかなければいけないのかを考えていかなければいけませんね。

マイナンバーの罰則は個人情報よりも厳しい

そして最後に罰則なんですが、個人情報保護法に関しては、「5カ月以下の懲役または30万円以下の罰金」なんですね。マイナンバーに関しては細かく罰則規定が決められているんですが、一番厳しいものをここに書いてきました。「最高4年以下の懲役または200万円以下の罰金または併科」。これすごいですね。「併科」というのは「どっちも」という意味。つまり、200万払ったうえに4年懲役に入るということです。

みなさん、ここ見てください。これ、なん倍？　こっち半年、こっち4年。最高8倍なんですよ。罰金に関しても7倍です。ここは数字だからわかりやすいですよね。そのくらい重要視してますよ、ということなんです。

繰り返しになりますが、単純でシンプルな仕組みなので、きちっと自分たちで作って、きちっと実行できていれば、なんの問題もないと、私は思います。ただし、当たり前のことを当たり前にやるのが一番難しいと思います。意外と。この違いは頭の中に入れておいてください。

特に大切なのは対象者のところです。今、みなさんこれを見て思ったでしょ。個人情報保護法だけを見れば、「なんだ、うちは個人情報をそんなにやらなくてもよかったんじゃん！」みたいな話になってくるんですけど、そうではないんですね。それは世の中が変えていくからだ、という話なんです。

ここからトラブル編に入っていくんですけれども、予想されるトラブルということで、まず「マイナンバー詐欺」というのは、非常に大きなものが起こって、「やっぱりな」みたいなことになっています。

10月13日に厚労省の室長補佐が、管理システムをめぐる収賄容疑で逮捕されています。そらそうですよね。だって、どこのシステムが採用されるのかというのは、メーカー側にとってみれば死活問題ですからね。特定の個人にいくらか賄賂を渡して利権が手に入るんだったら安いもんですよ。それはしますよね。

だから、そういうことに対して役人は、「いや、それはできないです」とやらなければいけないんですが、この人はなんぼでも取ってたと。そういうこともありますよね。これは、直接みなさんには関係のない話です。