個人情報の漏えいやホームページの改ざん、外部攻撃によるネットワークサービスの停止など、企業組織のネットワークや情報システムは様々な脅威にさらされている。これらは、不正アクセスなど外部からの攻撃でもたらされることもあるが、社員による内部犯行、また、誤操作や管理ミスなどが原因となることも多い。

出展:JNSA情報セキュリティインシデントに関する調査報告書

どのような原因であれ、情報システムやネットワークのセキュリティが危険な状態に陥った場合、企業組織のイメージダウンだけではなく、業務停止などその損害は計り知れない。なかでも深刻なのが、個人情報や組織の機密情報の漏えいなどからもたらされる、組織や顧客が被る被害である。

出展:JNSA情報セキュリティインシデントに関する調査報告書

だが、「個人情報保護や情報セキュリティ対策は、万一の場合の事故や事件を回避、防御するもので、必要だと思うが、経営上の優先度は高くない」と考える経営者は少なくない。対策に取り組んではいるものの「盤石のリスク対策だ」と胸をはって言える組織は多くはないのが現状だ。

社会情勢の変化や技術の進化によって、時々刻々と新たなリスクが発生している現代にあって、それに迅速に対処できなければ、本当の意味で対策を行っているとは言えないだろう。つねに個人情報保護や情報セキュリティに関する動きを把握し、自社内の重要な情報を守る体制を整えておくことが喫緊の課題だと言っても過言ではない。

現在、情報セキュリティに関して、企業組織の経営に影響を与える３つの大きな動きがある。マイナンバー制度の開始、それに伴う個人情報保護と情報セキュリティ管理の展開と実践だ。

こうした動きにどう取り組んでいくかが、企業組織にとって大きな命題となっている。

マイナンバー制度とは

2013年５月、マイナンバー制度に関わる法案である「番号法」が成立した。

マイナンバー制度とは、個人や法人に番号を付与し、税や社会保障、災害対策分野において本人確認などを迅速に行えるようにするものだ。

このマイナンバーには個人番号と法人番号が存在する。

12桁の個人番号は、個人に与えられる番号で、社会保険、税の手続きの際、番号カードに記載された個人番号により本人確認を行う。それにより各種手続きを簡素化し、時間やコストが削減できるというメリットがある。行政は作業の効率的運用が図れるとともに、行政機関の連携が可能になるため、縦割りの弊害を改善することができる。さらに、利用範囲の拡大により、住民への各種支援がきめ細かに提供されると期待されている。

法人番号は、行政、民間企業、NPOなどすべての法人等の組織に与えられる13桁の識別番号で、税や社会保険の手続きなどに利用される。

個人番号は、誕生日や電話番号、社会保険番号など他の個人の情報とは直接リンクしない番号が付与される。たとえ個人番号が流出してもその他の個人情報が漏えいしないようセキュリティ上の対策が採られている。

だが、やはり盗難や漏えいについてはハード、ソフト、運用において個人情報保護と情報セキュリティ管理の側面から十分な配慮が必要となる。そして従業員の個人番号を管理することになる企業組織は、これらを行うことが義務付けられている。

マイナンバーの安全性

こうした番号制度は、海外ではすでにスタートしている国も多い

日本ではオーストリアやスウェーデンなどを参考に、運用システムを定め、安全・安心な制度運用を旨としている。

他国に先駆け制度を開始したアメリカや韓国では、情報流出の問題が起きており、利便性を追及するあまり、安全対策が後手に回ってしまうというリスクが現実の課題として挙げられている。

例えばアメリカでは、不法移民が職を得るために個人番号を盗んだり、他人の年金を不正受給したりするなどの事件が相次ぎ、その被害件数は年間1000万件にものぼるという。公的機関だけでなく、番号を管理していた民間企業からの流出例もある。

日本では「分散管理方式」の採用により、個人情報の集中化による情報漏えいリスクを回避している。

1. 個人番号の利用範囲や情報連携の範囲を法律で限定し、目的外の利用を禁止。
2. なりすまし防止のため、個人番号のみでの本人確認を禁止。
3. 法律で認められている範囲外での、個人番号を含む個人情報の収集・保管等の禁止。
4. システム上情報が保護される仕組みかを、事前に評価する制度を実施。
5. 第三者機関（特定個人情報保護委員会）による監視・監督。
6. 特定個人情報保護委員会による情報システムに関する総務大臣等への措置の要求。
7. 罰則強化。
8. 行政機関等による個人情報へのアクセス記録を、国民自らが確認する仕組み（情報提供記録等開示システム：通称マイポータル）の構築。

このように日本では、各国の制度を参考にしつつ、適切な情報保護体制のもと運用される方針だ。だが各企業組織がこれまで以上に、個人番号の取り扱いに細心の注意を払うべきであることは言うまでもない。

制度開始に向け、企業が行うべきこと

個人番号は、企業組織では、従業員の社会保険や年金保険の支払いや確定申告の際に必要だ。すでに2017年3月の確定申告時には、各種書類や法定調書等に個人番号を記入することが決定されている。

そのため2016年1月以降には、人事、給与、会計システムなどの情報システムに個人番号を組み込むなどの対応が必要になる。それらの個人情報保護と情報セキュリティ対策をいかに実施するか、検討しなくてはならない。

システム化していない企業も、番号情報を社内でどう管理するか協議し、適正な対応策を練るべきだろう。また今後、人事、給与、会計システムの更改、更新を考えているなら、マイナンバー制度への対応を念頭に置いたシステム選定や構築を行いたい。

こうした対応は、企業の情報セキュリティポリシーにも関わってくる。そのため、情報システム担当部門、人事・総務・経理担当部門など現場の担当者だけでなく経営層もマイナンバー制度について、詳しく知ったうえで対応を決定する必要がある。

さらに、企業経営者にお勧めしたいことがある。マイナンバー制度の民間活用に備え、自社ビジネスに生かすための研究をしていくことだ。

現行の法律では、個人番号の行政機関等による活用は、社会保障、税、災害対策分野において必要な限度での利用に限定されている。最低限必要な範囲でしか許されていない。だが、番号法施行後３年をめどに、利用範囲拡大の検討を行うことになっているため、今後、民間利用も含めた検討が行われることが想定される。マイナンバー制度を新たなビジネスチャンスと捉え、情報収集を怠らないことが重要だ。

制度開始に対応するタイムスケジュール

現段階では、マイナンバー制度の全てについて確定しているわけではない。そのため、社内での対応についても、切迫感をさほど感じていないかもしれない。だが企業の実務で運用が始まるまで、すでに２年を切っており、早急な対応が望まれる。

制度開始までの流れと、企業が行うべき対応について、具体的なタイムスケジュールを解説しよう。

現在、制度自体を構築するため、政省令等の整備が進められており、整備完了後の2015年10月から個人番号の通知が開始される。2016年１月からは個人番号が記載されたICカードの交付がスタートし、同時に行政関での利用が順次開始される。

この段階から、確定申告時の提出書類には、社員のマイナンバーが必要となる。そのため、この時点までに社内システムにデータを組み込んでおく必要がある。

システムの試稼働、バグが見つかった場合の修正に備え、少なくとも1か月前までに導入準備は済ませておきたいところだ。システムの規模や内容にもよるが、逆算すると2014年度中にベンダーを選定し、システムの仕様をある程度確定。2015年12月ごろまでに導入準備をしておく必要があるだろう。

そこで重要になるのが、ベンダーの選定だ。いち早く確実な最新情報を入手できる、マイナンバーの制度や個人情報保護、情報セキュリティ分野を得意とするコンサルタントなどとの協力体制を築いているベンダーなら安心だ。

個人情報保護とPマーク制度

WEBの通販サイトや企業のホームページなどで見かけるPマーク（プライバシーマーク）は、事業者が個人情報を適切に取り扱っているかを、日本情報経済社会推進協会（JIPDEC）が評価し、適正と認定した事業者に付与するもの。個人情報保護法に準拠しており、個人情報に限定したマネジメントシステムが評価対象で、それ以外の情報資産については評価対象外だ。

認定を取得した後も、適切に個人情報保護措置をとり続けていることを証明するため、２年ごとの更新審査が必要だ。

認定評価は、日本工業規格（JIS）の「JIS Q 15001：2006-個人情報保護マネジメントシステム-要求事項」をベースに、

• 「個人情報保護法」
• 「各省庁が作成した個人情報保護法に関するガイドライン」
• 「地方自治体による個人情報関連の条例」

などの考え方を反映し、行われている。

JIS Q 15001は、経済協力開発機構(OECD)の個人情報保護のガイドラインとEUの保護指令に対応するという目的に基づきつつも、日本独自の法令や規程を踏まえて定められている。だが、現在の日本の個人情報保護制度は、残念ながら国際的に見て全てを認知されているわけではない。今後、個人情報は各国で通用する『越境プライバシールール』を前提としたグローバルな流通の中で活用されることになる。そのためグローバルな規格への対応を迫られることが予想される。

これからPマークの認定を受けようとしている企業、数年内に更新を控えている企業は、マイナンバー制度と個人情報保護の動きに配慮した対応が必要だろう。

個人情報保護とPマークの必要性とは

現在、Pマークの認証を取得した組織は、すでに13,500社を超えている。(2014年4月1日現在)

Pマーク認証取得のためには、「個人情報保護マネジメントシステム（PMS:Personal Information Management System）」を確立し、個人情報を安全に管理する体制整備が必要である。これを構築するにあたり重要なことは、“その目的と必要性を認識すること”だと言えるだろう。

現在はPマーク取得が取り引きの必要条件とされる場合も多い。「他社との関連において、個人情報保護が必要だから取得する」という姿勢は、必ずしも誤りではない。だが、それだけではなく、まず自社のマネジメントシステムを確立することを第一の目的とすべきだろう。

マネジメントシステムとは「経営管理の仕組み」である。経理業務や人事業務は継続的なマネジメントの仕組みであり、Pマークは個人情報保護の観点に立ったマネジメントの仕組みというわけだ。

経営者やPマーク関連業務の担当者は、取得と維持管理にのみに取り組みがちだが、認定取得だけが目的ではなく、あくまで「個人情報を保護し、情報セキュリティを維持し改善する」のが目的であることを忘れてはならない。

情報セキュリティの強化や適切なマネジメントを行わなかった場合、情報の漏えい、流出など様々な事態が発生する可能性がある。

そもそも情報セキュリティとは、自社を守る以前に、顧客や取引を守るために必要だということを、経営者をはじめ社員一人ひとりが理解しておきたい。

Pマーク認定取得・更新に向けた留意点

Pマークの認定を受けるためにはPMSを確立し、個人情報を安全に管理する体制整備が必要であることは先に述べた通りだ。

そして「Plan（計画）→Do（実施）→Check（点検）→Act（見直し）」の「PDCＡサイクル」は、PMSをはじめとするマネジメントシステムの全てに共通する基本であるが、必ずしもこれを徹底している組織は多くない。

認定取得を目指す企業は、まず「個人情報保護方針（プライバシーポリシー）」を定める必要がある。これは個人情報保護と情報セキュリティ体制を構築試運用する憲法だからだ。自社の経営方針と整合する個人情報保護方針を目標として掲げ、これを従業員や取引先、顧客にいたるまで理解してもらい、遵守することが大切だ。

Pマーク認定を受けるには、つねにこの一連の流れを念頭におき、自社の個人情報保護と情報セキュリティを向上し、経営に寄与することが最も必要である。

情報資産を包括的に守るISMS

Pマークが個人情報を保護するためのマネジメントシステムであるのに対して、ISMS（Information Security Management System：情報セキュリティマネジメントシステム）は企業組織の情報資産を包括した情報セキュリティのマネジメントシステムである。

対象となる情報資産は、コンピュータやネットワークで扱う情報だけではなく、紙や情報システムを取り巻く環境、組織、参画するスタッフなども含まれる。これら全てを考慮したうえで、情報セキュリティのリスクを分析・評価して、適切な対策をとる。当然、個人情報も情報資産に含まれるため、個人情報のセキュリティも考慮することが可能だ。ただし、Pマークは全社で一律の対応することが必要であるのに対して、ISMSは適切な適応範囲を各社が定めて実施することができる。

ISMSは、JIS Q 27001（ISO/IEC 27001）で定められた世界標準規格だ。ISO規格は5年をめどに、見直しをされ、ISO27001:2013として2013年11月に新たな規程に改定されている。

今回の改訂では、従来の情報セキュリティ分野に閉じた規格を、品質管理・環境管理・事業継続管理およびリスク管理などを横断する規格とし、企業が行うべき様々なマネジメント業務全般に関する共通の基準として構成さることになった。

これまでは、それぞれの分野で個別に基準が定められていたため、関係部署が中心となって複数の認証を取得したという企業もあるだろう。その場合、各部署でルールや運用体制を策定しているため、全社的に見た場合、矛盾や齟齬が出ることもあった。

しかし今後は、同一ルール上で、セキュリティマネジメントを実施することができるようになる。情報セキュリティマネジメントシステムと事業継続マネジメントシステムを共通の枠組みで、構築し、運用することが可能になり、より一層企業組織のマネジメントシステムにフィットした対応ができるようになっている。

自社の情報セキュリティを最適化するチャンス

認証取得や更新にあたって最も重要なのはPマーク取得時と同様、経営者はもちろん社員の一人ひとりが、情報セキュリティや各マネジメントへの意識を改革することにある。

運用に携わる従業員が、「規程通りに対処すれば問題ないだろう」という認識で作業をしていては、情報セキュリティ体制の強化、向上は難しい。扱っている情報に関する責任感が薄れ、そうした状況が情報漏えいなどにつながりかねない。情報セキュリティの信頼度は、それを運用する人が築くのだということを、忘れてはならない。

ISMSの取得や更新を通じてのマネジメントシステムの構築は、自社の情報セキュリティのあり方を見直すチャンスであり、ひいては経営の仕組みを見直す機会とも言えるだろう。情報セキュリティマネジメント構築と、運用の最適化を図る好機ととらえ、積極的に活用したい。

認証取得、更新に向けた留意点

認証取得までにどの程度の期間が必要になるかは、各社の情報資産の量や内容などの状況により異なってくる。

いずれにせよ、まずは情報セキュリティマネジメントの陣頭指揮を行う経営者の立場と責任を明確にし、実際的なシステムの構築を行う担当者はもちろん、文書類管理や社員教育、監査部門といった関連部門のスタッフが、その重要性をしっかりと理解しておくことが大切だ。

しかし、情報セキュリティ対策といっても幅が広すぎて、「何から手をつけるべきかわからない」「どの資料に目を通すべきかもわからない」という経営者やシステム担当者もいるだろう。そうした状況から脱却するには専門教育機関の研修を受講するか、コンサルタントの助けを借りることが早道だ。

ISMSの場合は、情報システムの安全性の観点からシステムを見直す必要がある。それだけに、ハードやソフト、システムの構築と運用の経験を持つベンダーやコンサルタントの支援が欠かせない。

ISMS、Pマークどちらの取得の際も決して忘れてはならないのは、実際にしっかりと運用していくことだ。マネジメントシステムは、企業とともに生きているところに価値がある。そのために誰が何をするか充分に考慮しておきたい。そうした地道な積み重ねこそが、本当に効果が上がるマネジメントシステムのベースとなっていくのだ。