マイナンバーはパソコンに保管していいのか?
マイナンバー法のどこを見ても、「マイナンバーはパソコンに保管してはならない」と、書かれているわけではありません。
しかしながら,「物理的な安全管理措置を取ってね」と、法的には求めています。
では、具体的にはどのようなことが求められているか、というと、
・パソコンはワイヤーで机にくくりつけて簡単に持っていけないようにする
・パソコン(OS)にはパスワードを設定しておく
・業務後はかぎ付きキャビネットに保管しておく
・マイナンバーを管理するファイルにはパスワードを設定しておく
というようなことが一般的には言われています。
現実に,かなりワイヤーやキャビネットは売れたようです。
ただ、「これで法的に十分か?」と言われると、非常に疑問です。
なぜなら、
・ワイヤーは、ワイヤーカッターで簡単に切れる
(私、水泳部でしたので、ワイヤーカッターでよく、コースロープのワイヤーを切ってました。)
・ネジをはずして、記憶媒体(HDD・SSD)だけを盗まれたらおしまい
(こうやってデータ救出をするときがありますが…)
・パソコン(OS)のパスワードは強制的にリセットできたり、比較的容易に突破できる
(特に,昔のOSを使っていればいるほど)
・カギ付きキャビネットは、カギ部分や側面が物理的に簡単に壊すことができる
(ハンマーで殴ったら開いたり、穴があいたり…)
・ファイルにつけたパスワードはソフトを使って、総当りで解析すると比較的簡単に見つかってしまう
(8文字以上で半角英数・大文字・小文字・記号を混ぜて使えばよっぽど…という気もしますが)
というように、比較的簡単に「安全管理体制」を突破することが可能、なんです。
他にも、意外と知られていないので怖いのですが、パソコン上で削除したファイルは、ゴミ箱を空にしたとしても、専用のソフトを使えば、簡単に復元することが可能です。
とすると、マイナンバー漏洩時になどのトラブル発生時に「簡単に突破できる環境しか整えなかった」ということに対して、【落ち度があった】と、法的に評価される可能性は十分にありうる、ということが考えられます。