第441号コラム:上原 哲太郎 理事(立命館大学 情報理工学部 情報システム学科 教授)
題:「今度こそセキュリティのパラダイムシフトが必要では?~仕事の見直しから考える~」

マイナンバー制度がいよいよ動き始め、今年はいよいよ各事業者が法定調書をマイナンバー入りで提出することになっています。そのため、年末が迫るに従って個人的にもあちこちにマイナンバーの提出を求められる機会が増えました。もう15個所くらいには提出したでしょうか…なかなかに面倒なことです。

その過程で大変気になったのは、マイナンバーの収集事務手順にあまりにもバリエーションがあることでした。最も簡単なのは、対面でマイナンバーを記入した登録用紙を担当者に直接手渡しするとともに、通知カードなどを担当者に示してマイナンバーに誤りがないことを確認して貰うだけというもの。この手法は、確かに担当者が個人番号関係事務実施者に該当するため義務が増えますが、事務手順としては必要十分であって、双方の負担が最小限になっているように思います。

ところが、マイナンバーを直接手渡し以外の手段で収集しようとしている事務に関しては、なかなかの混乱があるように感じます。まず、送付の手段がさまざまです。一番安易なところはExcelファイルを電子メール送付というところがありました(さすがにパスワード保護はされてましたが)。また、専用のスマホアプリを利用してマイナンバーカードか通知カード、さらに身分証明書を撮影して送付するというところもありました。その他のところは書類が郵送されてきて、多くは書類とマイナンバーカードか通知カード、および写真入り身分証明書をコピーしたものを添付して送り返すパターンでしたが、郵送手段も簡易書留やレターパックもあれば特定記録やレターパックライト、果ては普通郵便で送るところもありました。つまり、収集時の紛失や漏洩に対する対策のレベルがばらついているわけで、それは元々マイナンバーに求められているセキュリティレベルがはっきりしないことに起因するのかなと感じます。

以上はセキュリティの話なのですが、事務効率もとても気になりました。なんでこんなにマイナンバーの収集事務って多彩なのでしょうか。書類の作り方一つ取っても

(1)改めて住所氏名マイナンバーを手書きする
(2)住所氏名は印刷済みの書類にマイナンバーを書き加える
(3)住所氏名、識別のための整理番号(のバーコード等)が印刷済みの台紙があり、これの空白部分にマイナンバーカードか通知カードを重ねてコピーしたものを送り返す

などのバリエーションがありました。(3)の場合には、添付書類にマイナンバーの確認のためのカード等のコピーが不要になります。本人確認書類も単にコピーしたものを添付するもの、コピーを貼付するもの、(3)と同様に本人確認書類も整理番号入りの台紙に運転免許証などを重ねてコピーして送り返すものなどがありました。これらの書類の作成はそれぞれ手間が違うし、ミスの入り込み具合も違います。書類を受け取った側の事務処理も、バーコードなどをうまく使って効率化を図っているものもあれば、受け取った書類を再度誰かが入力するのだろうと思わせるものもありました。全般には、マイナンバー取得業務が一括で外注されている場合に、それを大量受注していると思われる業者側はさすがに効率化を図っていると思われる例が多かったですが、それはそれで今度は「X社の委託を受けてマイナンバー取得を代行しているY社です」という郵便が突然、X社からの断りなく届くこともあり、詐欺ではないのかとX社に問い合わせたくなるような事案も少なからずありました。

この件、私は、現在の事務情報化とセキュリティの関係を象徴する出来事のように思っています。マイナンバーの収集といった、現在とても世間の関心が高く、高いセキュリティレベルも求められる事務ですら、そもそも事務フローの構築についてセキュリティ的に十分なのか分からない手順で実装されており、業務効率も高くないと感じられるのです。複雑な事務は事故を誘発し、効率を落とし、セキュリティ上の事故を起こします。セキュリティ問題を云々する前に、私たちは事務の情報化のあり方を真剣に見直した方がいいんじゃないでしょうか。

年金機構の事件以来、標的型攻撃対策のためにインターネットとPCの接続を切り離す作業が自治体を中心に始まっています。私は自治体のCIO補佐を務めていますが、この切り離し作業は業務の現場からは強い反発がありました。曰くインターネットを切り離されると業務にならないというわけですが、ところが話をよく聞いてみると、業務において現在のワークフローがそもそも効率的ではなく、ネットに繋がっているかどうかは本質的ではないのではないか、PCで行っている作業は繁雑にすぎるのではないかと思われるものを多く目にすることになりました。特に定型業務に関しては、業務をシステムで自動化して処理することを徹底することの方が先ではないか、そして業務効率を上げていかないと、セキュリティ確保のための一手間をかける余裕がとても生まれる状況ではないと感じさせられる事案が多いのです。

なので最近、私はセキュリティ関係の講演などを依頼された際には、セキュリティの前に業務効率じゃないですか?という話で講演を締めくくることにしています。確かに現在セキュリティを巡る状況は厳しく、目の前の対策に精一杯という面もあるでしょう。でも少し余裕が出来たら、セキュリティよりまず業務の組み立て直しから考えましょうよ、その業務の組み立ての中で少しずつセキュリティの視点を取り入れていく発想の転換、パラダイムシフトが必要な時期ではないですか?と申し上げています。

【著作権は、上原氏に属します】