基礎年金番号は「秘密の番号」？流出事件が示したマイナンバーへの教訓：ITpro

本来の年金業務には、インターネット環境は必須ではない。年金記録問題対応のようなイレギュラーな業務や、現場がサービス向上のためと考案した非定型の業務の中で、「インターネットに接続できる通常業務用のPCで、大量の個人情報ファイルを扱う」という運用がまかり通るようになったと。また、 

情報システムの仕様が現場の業務実態とかけ離れており、かつセキュリティ管理や監査の体制が十分でなければ、現場は内規に反すると分かっていても、効率化のため「非公式のExcelファイル」を作ることへの”誘惑”に抵抗できないかもしれないと。

 

 

この手の記事で強く感じる違和感は、「現場が業務実態に応じて内規に反するのは仕方が無いのではないか（内規違反した従業員等を強く責めても問題は解決しない、かえって悪くなる）」という考えがあることです。

 

こうした反応は、特に公務員の方に多く見られると感じています。

 

別の言い方をすれば、「セキュリティ上の内部規定に違反したぐらいで懲戒免職されるのは行き過ぎである」というものです。

 

年金機構の個人情報流出については、下記のようなブログを書きました。

 

日本年金機構の個人情報流出、エストニアだったら・・・

 

IPAの「対策の考え方の整理」として、

・いくら万全のセキュリティ対策設備を整えても、運用ができなければ効果なし

・自分達で運用できることを念頭においた対策検討が重要

 

を紹介した上で、速やかに「ルールを守れない個人には、退場してもらう」ための法整備を行い、それ以降の情報漏えいや不正閲覧等については、厳格に対応し、粛々と処分して欲しいと提言しました。

 

なぜ、このような厳しい提案をしたかと言えば、政府の情報管理が「誰も責任を取らない」状況にあり、こうした状況を打破しない限り、国民の信頼を得ることはできないと強い危機感を抱いているからです。

 

 

例として、マイナンバー制度を見てみましょう。

 

マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）では、個人情報の漏洩防止や安全管理について義務化している規定が数多くあります。政省令で具体的な基準を定めたりもしています。

 

それでは、政府の機関や自治体が個人情報の漏洩防止や安全管理の措置を取らなかった場合、罰則を適用されるでしょうか。

 

答えは、「罰則を適用されません」です。

 

安全管理措置等の実施義務違反について、罰則は規程されていないのです。

 

それでは、情報管理やセキュリティの責任者が適切な安全管理措置を取っていたにも関わらず、現場で業務を行う公務員等が内部規定に違反したために情報が漏洩したら、その公務員は罰則を適用されるでしょうか。

 

この答えも、やはり「罰則を適用されません」です。

 

このように誰もマイナンバー法で責任を追求されない状況で、「内規違反しても仕方が無い」「内規違反により情報漏えいしても解雇はやり過ぎである」としたら、国民は一体何を信頼すれば良いのでしょうか。

 

社会保険オンラインシステムから個人情報を抜き出して業務で利用することが、日本年金機構のセキュリティポリシー違反であれば、その運用を認めた「情報管理システムの責任者」は解雇されるべきであり、内規違反を犯して情報漏えいを招いた「従業員」も、同様に解雇すべきということです。

 

これらの違反を仕方が無いと考えるような人は、そもそも公的業務に就く適性が無いので、もっと責任の少ない民間業務に従事した方が本人のためになります。

 

大半の公務員や従業員はルールを守るので、透明性の高いルールの下で「これをやったら解雇です」とした方が、業務もしやすくなります。責任の所在が曖昧なままで、いつスケープゴートにされるかわからない状況の方が、よっぽど怖いのです。

 

せっかく公的個人認証を標準格納する個人番号カードを作るのであれば、国と地方の公務員、および日本年金機構のような公的情報を扱う組織の従業員は、個人番号カードの取得を必須として、個人情報等の公共データベースにアクセスする際は必ず個人番号カードで認証するのが良いでしょう。

 

日本年金機構の個人情報流出から学ぶべきことは、

 

・個人の認証を徹底し、責任を追及できる環境を整備する

・セキュリティポリシー違反のシステムや運用は認めない

・内規違反も許さない

・ルールを守れない人は、速やかに退場してもらう

 

これらを公務員自身が必要と認め、自らの甘えを断ち切り、率先して必要な法整備に動くことが無ければ、国民の信頼を得ることはできないのです。