航空や長距離鉄道においても厳しい状況が予想されます。在宅勤務が増え、移動が制限され、3密自粛を迫られた結果、打合せや会議はもちろん研修や講演等もWeb会議で代替したのではないかと思います。そして使ってみるとこれで結構代替が可能であることに気づいたケースが多いのではないでしょうか。ちょっとした会議や打合せで飛行機や新幹線を使うのは移動時間と交通費を考えると明らかにムダです。つまり、コロナ後はこれらの交通手段のビジネス利用が減ることが考えられるのです。航空や長距離鉄道の業界においてもコロナ後に向けた何らかの手立てが求められます。
緊急事態宣言解除までしのいでもその先に課題を突きつけられている業界は、これらだけではありません。長く店舗休業を迫られ、春夏ものを販売できず在庫を大量に抱えているアパレル業界も然りです。夏のバーゲンで一気に在庫を処分するのは容易ではないでしょう。ガソリンは移動機会が減り余剰状態が続く中で販売単価は低くくなる一方です。
目先の資金繰りは非常に重要ですが、経営者はコロナ後に備えた対策についても考えておかなければ生き延びることができないことは容易に想像がつきます。
一方、弊社のようなIT業界においては需要の変化を察知しておく必要があると考えています。コロナ禍の影響で在宅勤務や時差出勤といった勤務(就業)形態に替わることでWeb会議、チャット、ワークフロー(電子決裁)、リモートデスクトップなどのICTツールの利用が進んだことと思われます。これらを利用して在宅勤務を行った場合、ペーパーレス化やクラウド活用が遅れていると不便さを感じたのではないでしょうか。こうしたICTツールやソリューションはパンデミックに向けた事業継続(BCP)対策に役立つだけではありません。中長期で捕らえればコスト削減効果が期待できますので、是非、取り組んで頂きたいものです。
もはや「会議は対面で行うもの」「重要書類は押印し紙で保管するもの」などと言った硬直的な考えを排除しなければ世界から取り残されてしまいます。行政手続きも是非、完全オンラインで済むことを目指して頂きたいと思います。弊社も実現に向けた支援を行っていくつもりです。
著 佐藤 雅英
]]>その準備期間として、平成28年度から税率を決める試験運用のため、都道府県から、各自治体にデータ提供が求められています。
]]> 平成28年度においては、準備期間として標準システムを導入するのであれば、いくつもの決め事があり、ベンダー選定、移行計画、既存連携設計、機器調達などあります。平成29年度には、本格的にテスト工程に入るため、既存改修を行う自治体は、入念なテストが必要になってくるのです。自治体の新しい国保導入には課題も出てきます。都道府県の実態と合わせてネットワーク構築、制限事項等考慮し対応が求められます。更に、特定個人情報保護評価(PIA)の再評価、業務フローの再構築(各課との連携)など課題は山積ですが、自治体の実態により、課題は様々です。
国保中央会のスケジュールでは、平成28年8月に基本設計書が公開され、8月から9月末まで、標準システムの導入意向調査があり、導入の意思表示をした自治体は、機器調達仕様書に沿い、平成29年1月から機器調達に入ることになります。
総論ですが、平成28年度は導入意向調査を経て、自主改修の道を選択するのか、標準システムを導入するのか、その選択でITに関しては大きく道が変わります。
また、業務フローの再構築、特定個人情報保護評価(PIA)の再評価、標準システムを導入するのであれば、どこの部分を導入するのか、あるいは全てを導入するのか、検討が必要です。
自己改修は大規模になり、ITベンダーと入念な要件定義を行う必要あり、十分な時間をかけて構築することが必要です。まずは、この8月から9月の導入意向調査がカギになるのでしょうか。
著 松浦 優治
]]>調査は、「初動対応~通知・報告・公表等~抑制措置と復旧」と進めて行く中で並行して行うプロセスとなります。重要なのは混乱せずに的確な措置を進めて行くことですが、そのためには机上でも構いませんので、平時にシミュレーションをすることが効果的です。
3回に分けて情報セキュリティ事故による緊急時の対応をご紹介しましたが、重要なのは「組織体制の構築」「対応フローの明確化」「準備(シミュレーション)」です。無防備ではパニックになり、顧客・取引先・社会等からの信用を失うことになりますので、是非「備えあれば憂い無し」の精神に則って整備と準備を心掛けて下さい。
著 佐藤 雅英
]]>平時において緊急時の備えをしっかり行っていなければ、緊急時に手際よく行動できないことを肝に銘じて下さい。
]]> 【情報漏えい事後対応に関する5つのポイント】情報漏えい事故が起きた場合、組織がパニックに陥ることも予想されますので、事前に緊急時対応計画と緊急時対応フローを作成しておくことが肝要です。対応フローは実施すべきことを簡潔明瞭、分かりやすくフロー図に表現したもので、事故対応のよりどころになり得るものにします。
次回は「情報漏えい対応の基本ステップ」についてご紹介致します。
著 佐藤 雅英
]]>実は、そこには情報セキュリティ面での脅威と脆弱性(弱いところ)があり、十分な対策を施していないと、重要情報が流出して顧客からの信頼を損ね、経営にとって大きなダメージを受けることになりかねないことを認識しておかなければなりません。
]]> 今や、中小企業であってもサイバー攻撃のターゲットになっているので、いざという時の対策はすべての企業で必要であることを理解して下さい(丸吉日新堂株式会社がアノニマスからサイバー攻撃を受けた被害状況)。しかし、昨今のサイバー攻撃の事例を見ると、もはや完全に防御することは不可能と言っていいかと思います。なぜなら、標的攻撃型メールを受信した場合、ウイルスが仕込まれた添付ファイルを開いたり、悪意を持ったWebサイトに誘導するURLをクリックするのを完全に避けることができないくらい、手口が巧妙になっているのです。また、自社のWebサイトで利用しているソフトウエア、ミドルウエア、プログラミング言語、外部Webサービスなどに脆弱性がある場合は、それをトリガーとして不正アクセスされ、情報が搾取されるケースも多く見受けられます。現在は、ネットショップのみならずWebサイトを制作するために、様々な部品やツールを利用 することが多いため、脆弱性を完全に取り除くことは難しく、常に何らかの穴がある状態で運用しているという実態を受入れなければなりません。
そこで、サイバー攻撃を受けるなどのインシデントが発生した場合に、どのような対応をとればいいのかについて、3回に分けてご紹介させて頂きます。
今回の前編では「情報漏えいパターン」とその防衛策について取り上げます。
情報漏えいの主なパターンは以上ですが、完全に防御することは不可能と言っても言い過ぎではありません。従って、インシデントが起きてからの対応も必要です。次回は、「情報漏えい事後対応の5つのポイント」についてご紹介致します。
著 佐藤 雅英
]]>
代表取締役 佐藤 雅英
この限られた部分は具体的には以下となります。
また、注意しなければならないのは、給与計算、会計処理、社会保険処理等を税理士や社会保険労務士へ委託している場合、委託を受ける事業者も「個人番号関係事務実施者」に該当し、しかも中小規模事業者であっても、特例的な対応方法は実施されず、厳格な安全管理が求められます。
次に、以下の管理ポイントを理解しましょう。
サーバールームを持たない小規模事業者の場合は、マイナンバーを含む個人情報をノートPC、外付けハードディスク、NAS等に保存して夜間・休日は施錠できる引き出し、あるいは、キャビネットなどに保管することが推奨されます。要は事業者の身の丈に合った対応で構いません。紙媒体も施錠保管しましょう。
次に、マイナンバーの取得は誤った番号を取得しないよう「本人確認」をしっかり行う必要があります。基本的には、10月5日以降に送られてくる「通知カード」と運転免許証などの本人の身元確認書類を元に行いますが、規模の小さい事業者で誰でも顔と名前が一致して認識できるような場合は、通知カードによって住所を確認した上で提供を受けることで問題ありません。
事業者が最も重要視しなければならないのは「記録を取る」ことです。
特定個人情報の取扱いガイドラインでも「特定個人情報等の取扱状況の分かる記録を保存する」と明記されています。運用記録等は特定個人情報の事故の原因追及や訴訟等における客観的な証拠としても大変重要です。これによって「故意ではない」「完全管理措置に問題はなかった」ことを示すことができ、ステークホルダーへの説明責任を果たすことができます。
番号法は直罰規程を加えた事業者規制法であり、事故等が発生した場合に事業者もその責めを負うという認識を持つことが必要です。この事故が発生した場合の備えとして以下の5つの局面での記録が求められるので、しっかり対応して下さい。
最後に、マイナンバー制度を契機にお勧めしたいことがあります。
特定個人情報の取扱いガイドラインの中小規模事業者の特例的対応の中に「事務取扱担当者が変更となった場合、確実な引き継ぎを行い、責任ある立場の者が確認する」とありますので、業務の標準化を行い、そのプロセスを明確にすることが重要になりますが、安全管理の面でも大変有効です。
つまり、業務フローを作成し、個人情報の漏えい・滅失・既存・詐取につながらないよう、また、効率的な取扱い手順になるよう検討をして頂きたいと思っております。
著 佐藤 雅英
]]>マイナンバー制度は、行政事務の効率化に寄与し、国民や企業にとっても様々な利便性をもたらすもので、超高齢化社会を迎え、年金受給者や医療費の増加、また、公平な税負担ということを考えれば必要な制度であり、先進国ではほとんどが既に導入済みです。
具体的な制度の仕組みやどのように変わっていくかなどについては、様々なニューズや記事等で紹介されていますので、ここでは省略させて頂きます。
しかし、現状では決して万全とは言えない状況です。
日本年金機構では、国民の年金情報を管理する社会保険オンラインシステム(基幹系システム)と一般業務やメール、インターネット閲覧など外部との通信が可能な情報系システムとは分離され、接続できないようなネットワーク構成になっていました。それにもかかわらず、漏えい事件が起きたのは、基礎年金番号を含む個人情報を情報系システムで取扱ってはいけないルールになっておりながら、現場では不便さを解消するため個人情報をDVD-Rなどの外部記憶媒体に保存し、情報系システムのファイルサーバーに複製しており、しかも、暗号化されていないものも多数あるといった運用が常態化していたことによるものです。
つまり、どんなに技術的・物理的対策を施してもルール違反を起こしてしまっては、元も子もないということが言えます。
総務省は、この事件を背景に6月末を期限にしたセキュリティに関する実態調査を全国の自治体に対して実施しました。すると、住民情報・税情報・福祉情報を取扱う基幹系システムと情報系システムを分離している自治体は僅かに7%という結果が出てしまいました。
また、情報セキュリティに関するルールである情報セキュリティポリシーは10年以上も見直しをしていないところが4割以上あり、自己点検または内部あるいは外部のセキュリティ監査を実施している自治体は半数にも達しておりません。
この実態を知った住民は、自分の済む自治体は大丈夫なのかという不安に駆られるのではないでしょうか。
また、特定個人情報を取扱う企業を除く機関は、特定個人情報保護評価書を作成することが義務づけられており、現在、各自治体のホームページでそれが公開されています(一部のみの団体もあります)。
都道府県や人口の多い市、23区は全項目評価あるいは重点項目評価を行っており、相当な負担が強いられたかと思いますが、そこには特定個人情報保護の体制及び姿勢が現れているかと思います。
一方、小規模自治体の場合は簡単な基礎項目評価しか行っておらず、そこからは、セキュリティ強化の姿勢を見ることがなかなかできないというのが私の感想です。もちろん、十分な情報セキュリティマネジメントシステムを構築している小規模自治体もあるのは事実です。
住民の方々は是非、居住地の自治体の特定個人情報保護評価書をチェックしてみて下さい。また、近隣の自治体と比較して下さい。もしかすると、記載内容がほぼ同じなんていうこともあるかもしれませんが。
不安があれば、問合せをするものいいかと思います。
これまでで言える自治体(特に小規模自治体)に潜む脅威は以下となります。
不安を煽るようで恐縮なのですが、他にも脅威となる点があります。
日本年金機構のケースもそうですが、この猛威を振るっている標的型攻撃のターゲットになりやすいのは公共団体で、事実、最近セキュリティ専門会社に寄せられる事故対応要請の多くが公共団体です。
自治体の場合、縦割り組織であるため、何らかのインシデント(標的型メールを受信したなど)が起きても、それをしかるべき部門と共有し、被害を抑制するといった体制ができていないのが大半ではないでしょうか。
また、情報セキュリティに関する緊急時対応計画についてもしっかり策定しているところは、私の見る限り多いとは言えません。特に標的攻撃についてはその攻撃手法などの特徴についての理解が不十分で、どのように対応すべきかが分かっていないのが実態です。
現に、人口16万人弱の長野県上田市が標的攻撃に遭いました。
上田市の緊急ニュース:http://www.city.ueda.nagano.jp/shise/joho/kinkyu/cyberattack/
上田市は、基幹系と情報系のネットワークを分離していたためか幸いにも個人情報は流失しなかったようです。
小規模自治体も標的攻撃のターゲットになる可能性は十分にありますが、その備えは十分ではありません。
情報セキュリティに関する予算措置の優先度が低いことも脅威の1つとして挙げた方がいいでしょう。
彼らに意識改革を促すのは住民の声が一番ではないかと思っている次第です。
著 佐藤 雅英
]]>