今後導入が進む手法は組織的安全管理措置

株式会社 日経BPコンサルティング
コンサルティング本部 ビジネスイノベーション・ラボ
シニアコンサルタント

村中 敏彦

京都大学法学部卒業。IT企業で顧客担当SE、化学メーカーで業務統括部門を経験後、日経BP社に入社。日経コンピュータ編集、新規事業開発職に従事後、コンサルティング局に異動(分社に伴い出向)。法人顧客向け調査部門長を経て2010年より現職。ICT/BtoB企業を主要クライアントとして、顧客ニーズの分析やマーケティング戦略立案の支援を行う。

株式会社 日経BPコンサルティング

事業戦略やマーケティング戦略の立案・実行に向けて、アンケート / インタビュー / 文献などを調査・分析し、コンサルティングし、コンテンツをデザイン・制作する工程まで、法人顧客のニーズに即した総合的なソリューションを提供する。従業員は224名。設立は2002年3月。

日経BPコンサルティングが2015年夏に実施した「マイナンバー対応と情報セキュリティに関する調査」によると、2015年末までにマイナンバー対応作業が終わらない企業が続出する見込みです。政府が順守を義務付けている「安全管理措置」に対応するために想定される各種手法について、情報システム部門の検討状況がどうなっているのか、見ていきましょう。

「IT部門のためのマイナンバー対応白書2015-2016」

日経BPコンサルティングが国内の中堅・大企業(従業員300人以上)向けに2015年6~7月に実施した「マイナンバー対応と情報セキュリティに関する調査」の分析をベースとして、CIO(情報統括役員)や情報システム部門のマネジャーが、マイナンバー制度に的確に対応するための指針を提供することを目指した16ページのリポートを作成しました。「マイナンバー制度に対応した安全な情報システムを作るには」を主題とし、政府が順守を義務付けている「ガイドライン」や「安全管理措置」として想定される手法の検討状況について詳しく調査しています。

有効回収数は498件。勤務先の情報セキュリティ対策への関与状況の内訳は、検討参画者が35%、検討参画者への情報提供層が34%、承認者が6%でした。この調査はSky株式会社から委託を受けて実施したものです。

対応作業の準備・実施層は42%
対応準備が2015年末までに完了するのは40%

「マイナンバー対応の準備が遅れている」との報道が2015年初から相次いでいますが、最新の調査ではどうでしょうか。当社が2015年夏に実施した情報システム部門向けのアンケート調査結果を基にまとめた「IT部門のためのマイナンバー対応白書(ページ上述の「IT部門のためのマイナンバー対応白書2015-2016」の情報を参照)」では、マイナンバー対応作業の実施状況をこう報告しています。

マイナンバー対応を「準備・実施している」(実施層)は42.0%で、「準備・実施していないが、予定はある」(21.9%)の予定層と合わせた「実施・実施予定層」は63.9%と6割台です。これに「準備・実施していないが、法制度でもあり、必要になったときに都度対応するはず」(8.0%)を合わせた「実施・実施予定・実施想定層」は71.9%と7割台に乗せました。一方、「準備・実施していないし、予定もない」という「予定なし層」は2.0%とごく少数にとどまっています。「準備・実施状況が全く分からない」という「不明層」は26.1%です。(図1

図1 マイナンバー対応作業の準備・実施状況

調査結果を業種別に見ると、金融業は実施層が69.0%と多く(回答数はn=29と少ないので誤差がやや大きいことに留意する必要があります)、流通業は実施予定層が32.0%と多い点に特徴があります。一方、従業員規模別に見ると、実施層は4割台前半でほとんど同じですが、5,000人以上の大規模企業は不明層が37.9%と多いため、状況がわかっている層を母数として集計した場合の実施層は約7割ともっとも高くなっています。大企業の情報システム部門は、マイナンバーの担当者が同じチーム内にいないなど、対応状況を把握しにくいことが背景にあると考えられます。

一方、マイナンバー対応作業の準備が完了する、「最も近い時期」を尋ねたところ、「分からない」との回答が43.3%ともっとも多かったのですが、具体的な年月では、「2015年9月」が10.9%、「2015年12月」が29.3%、「2016年3月」が9.5%と、この3つの選択肢の構成比が高く、その他の年月は0~2%台とごく少数にとどまりました。(図2

図2 マイナンバー対応作業の準備完了時期

2015年12月までに準備が完了する合計の比率は40.2%であり、「分からない」を除外して計算すると70.9%に相当します。これに対して、2016年以降の準備完了を予定する合計の比率は16.5%であり、「分からない」を除外して計算すると29.1%で、約3割に相当します。しかし、マイナンバー対応の準備は2015年末までに完了することが望ましいのです。

2016年1月からは、短期アルバイトへの報酬、講演料・原稿料などの外部の有識者への報酬、退職者(中途および定年の両方)への退職金など、一過性の支払いに際して、マイナンバーを記載する事務処理が始まります。もし、2016年1月以降、対応準備が完了するまでの間、暫定的に、記載事務を都度対応で行い、管理する運用とした場合、法制度が求めている管理水準に適合できない恐れがあるのです。アルバイトや退職者の人数が多い、あるいはマイナンバーを取り扱う人の理解度が低いと、暫定運用中に事故が発生するリスクは高いと言えます。暫定運用の期間が長くなるほど、事故発生のリスクは高まるため、もし2015年末までに間に合わない場合でも、2016年のできるだけ早期に準備を完了させるのがよいでしょう。

ツール支援が可能な政府の組織的 / 物理的 / 技術的安全管理措置
中でも相対的に検討中が多く、今後導入が進む組織的安全管理措置

政府がガイドラインとして定めた安全管理措置は、組織的、人的、物理的、技術的の4分野に分類されます。このうち、人的安全管理措置は、事務取扱担当者の監督・教育なので、これ以上細分化したり、情報システムや管理ツールで支援したりすることはなじみません。これ以外の①組織的、②物理的、③技術的の3分野の安全管理措置については、さらなる細分化やツールによる支援も可能です。そこで、この3分野の安全管理措置として想定される手法について、それぞれ5、4、11項目、合計20項目の検討状況として、情報システム部門の方に尋ねました。

安全管理措置の手法の検討状況は、①既存システムで実施済み(「実施済み」と略す。以下同じ)、②新規の対応を検討中(検討中)、③新規に対応する必要があるが、具体化していない(必要あり)、④検討していない(非検討)、⑤分からない、勤務先には該当しない(非該当)――の5つの選択肢から選ぶ形式としました。このうち、①実施済みと②検討中の構成比の関係について、①②の両指標の平均点で4つの象限に分割し、安全管理措置に関する20項目の手法をプロットしました。(図3

図3「組織的 / 物理的 / 技術的安全管理措置として想定される手法」における、
   「①実施済み」と「②検討中」の構成比の関係

まず組織的安全管理措置の手法の5項目は、すべて左上の象限、つまり「実施済みが少なく、検討中が多い」ゾーンにプロットされます。この左上の象限には、組織的安全管理措置の4項目、および技術的安全管理措置の1項目を合わせ、特定個人情報の取り扱いに関する項目が多いことも特徴です。特定個人情報は、マイナンバー制度対応を機に打ち出された概念ですので、実施済みが少ないのは当然ですが、検討中が多い点は注目に値します。今後導入が進むと想定されます。

次に物理的安全管理措置の手法の4項目は、下側の象限、つまり「実施済みは平均前後に位置し、検討中が少ない」ゾーンにプロットされます。4項目のうち3項目は、電子媒体の持ち出しと書き込みの制御に関する措置です。こうした措置は調査時点で、総じて、必要性は認識されているものの、具体的な検討までは進んでいなかったようです。

さらに技術的安全管理措置の手法の11項目は、4象限のすべてに位置しています。このうち過半数の6項目は、右下の象限、つまり「実施済みが多く、検討中が少ない」ゾーンにプロットされます。特に、「ウイルス対策ソフトの導入」は他の項目から遠く離れて、もっとも右下に位置しており、約9割が実施済みで、検討中は3%台とごくわずかです。読者の皆さんの勤務先でも、ウイルス対策ソフトは導入されていることでしょう。これほど極端ではありませんが、技術的安全管理措置には実施済みの項目が少なくありません。

ここで見られた、国内の中堅・大企業での安全管理措置への検討状況を参考に、皆さんの勤務先でも、どの手法に対応するかを検討するとよいでしょう。こうした手法を効率的に実施するために、IT資産管理ツールの活用も有効でしょう。

(「SKYSEA Client View NEWS vol.44」 2015年9月掲載)
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら