ファイルサーバーを通した個人情報流出事件が後を絶ちません。
4月にはネット上の個人情報が大量に抜き取られたケースとしては、過去最大規模の被害となる事件が発生しました。
国内に設置された中国向けの中継サーバーがネット上の不正継続に悪用された事件で、警視庁が都内で押収したサーバーからネット通販サイトなどのIDやパスワード計約506万人分が見つかったといいます。
続けて5月末には、日本年金機構がサイバー攻撃を受け、受給者らの個人情報約125万件が流出するという事件が発生しました。
こうした中、マイナンバー制度が2016年1月から順次導入あれる予定になっていますが、国民はこのような状況下での導入には不安感を拭いきれません。
さて、これまでのネット上での個人情報流出事件の発生状況からみて、どれほどお金と時間をかけても流出リスクゼロのシステムの構築はほぼ不可能と言えます。
そうなると必要となるのは、流出後の対応、すなわちこれまで何度かお伝えしてきたコンティンジェンシープランです。
流出後の被害を最小限に食い止め、しかも登録ユーザーの手間をかけずにトラブルを修復させる方法の確立です。
ですから、こうしたコンティンジェンシープランの構築がきちんとなされるまではマイナンバー制度の導入は控えるべきだと考えます。
特に、日本年金機構の今回の事件後の一連の対応を見る限り、セキュリティー意識の甘さが散見され、お始末過ぎてとても安心して運用を任せられるような状況とは言えません。
ですから、コンティンジェンシープラン以前にまずしっかりとしたリスク対応策を検討していただきたいと思います。
そのためには、まず関係者の方々に個人情報流出のリスクにはどのようなものかあるかの認識、次に適切なリスク対応策、リスクが顕在化した場合の再発防止策、そしてコンティンジェンシープランという一連のリスク管理のあり方をきちんと理解していただきたいと思います。