第15回 マイナンバーの運用を考える、「オンプレミス」か「クラウド」か
いよいよ2015年10月からマイナンバー制度の番号通知が始まりました。今後、企業は従業員とその扶養家族などのマイナンバーを収集し、保管・利用・廃棄まで厳格な安全管理が求められていきます。その運用として、簡単・安価に始められるクラウドサービスを選択する企業も少なくありません。しかしその一方で、クラウドでマイナンバーを管理する場合にはある程度の危険性があることも知っておく必要があります。
増える企業のクラウド利用 果たして安全対策は十分なのか?
従業員などのマイナンバーを自社内で保管するか(オンプレミス)、それとも外部の業者に託すのか(クラウド)。マイナンバー交付後、その保管にクラウドを選択する企業が増えるとも言われています。マイナンバーに限った調査結果ではありませんが、情報通信白書(2015年版)によれば、クラウドを「全社的に利用している」「一部でも利用している」という企業の割合は、合計で38.7%と前年比で約5%増加。その内、「給与、財務会計、人事」に利用しているという比率は19.6%に達し、クラウドを利用する企業が増えてきていることは事実です。
しかし、規模の大小はあっても、いずれデータの消失や漏えいなどのトラブルが発生する可能性はゼロではありません。現に、2012年にはクラウド上で顧客企業が利用していたサーバー約5,700台のデータが一瞬にして消失する事件が起きてしまいました。クラウドといえども、ヒューマンエラーが起こり得る可能性はゼロではありません。
クラウド利用の注意点
では、万が一のセキュリティ事故が発生した時の責任はどのようになるのでしょうか。
そもそも、クラウドの利用はあくまで“場所貸し”をしているだけであり、セキュリティ対策自体に責任を持っているわけではありません。実際、クラウド事業者は「弊社は番号法に規定する委託事業者ではないため……」という内容が何か所にも記載しており、“データの管理責任はお客様側にある”“有事の責任は取れない”ということを伝えています。
また、仮にデータ消失や漏えいが起きたとしても、故意であったり極めて重い過失が認められたりしない限り、法に基づく罰則の対象とはなり得ません。ただし、事故を起こしてしまったクラウド事業者は、マイナンバーを扱う企業としての信用の失墜やイメージダウンは免れないでしょう。
負担が軽く、手軽に始められることが大きな利点であるクラウドサービス。しかし、預けるデータにマイナンバーなどを含めることについては、十分な考慮が必要であると言えるかもしれません。
次回は12月上旬の更新予定です。