『ご契約にはマイナンバーが必要です。フォームに入力してください。
(もしくは郵送してください) 株式会社○○○○』
インターネット上には、無数の「フィッシングサイト」が存在する。たとえば「クレジットカード番号」や「オンラインバンクの暗証番号」などがだまし取られる被害は、後を絶たない。「マイナンバー」(個人番号)を集めようとするフィッシングサイトも、遅かれ早かれ出現するだろう。(「マイナンバー占い」とか、絶対ダメ!!)
『もしウチの社名を名乗るフィッシングサイトが出現したら・・・』
多くの外部フリーランスを活用しているような会社であれば、「オンライン申請」に頼らざるを得ない。しかし、もしも模倣フィッシングサイトが出現するような事態になればタイヘンだ。基本的には、「データ送信先」や「郵送先」の確認をオネガイする、くらいしか方策がない。
- 確認ファイル送信先のURLは「https://example.com」です!!
- 確認書類のコピー郵送先は「京都市中京区○○番地」です!!
前回紹介した「マイナンバー申請プロセス」
の例では、遠隔地にいるフリーランスさんも、弁護士さんや税理士さんも、オンラインで申請することができた。しかも「マイナンバーの収集に関与する人」を極めて限定的な数に減らすことが可能な、秀逸なワークフローだ。その結果として「人的な情報漏洩のリスク」を限りなくゼロにできることができる。
しかしこの例では、「マイナンバー」や「証明書の画像ファイル」を添付してもらう必要があった。
- A. 『運転免許証』の画像
- B. 『通知カード』の画像
※A: 『個人番号カード(表)』や『パスポート』等といった写真つき身分証明書で代用可能
※B: 『個人番号カード(裏)』や『新住民票』といったマイナンバーが記載された証書で代用可能
つまり、フィッシングサイト側の視点でいえば「だまし取りやすい構造」と言える。情報セキュリティの有資格者によってもリスク評価は様々だが、少なくとも「リスクがゼロ」とは言い切れない。そもそもセンシティブな情報をオンラインやりとりしないですむ方法は無いものだろうか?
以下のワークフローは
- オンラインで、「A.運転免許証の画像」も「B.通知カードの画像」も送信しない(!!)、
- オンラインで、「12桁マイナンバー」の送信もない(?!?)、
という特徴がある遠隔地からのマイナンバー申請プロセスだ。キーワードは「情報の分割」だ。この業務プロセスを大雑把に説明すると、次の2工程で構成される。
- 先頭8ケタの送信
- 末尾4ケタの口頭連絡
注意)「同一の者であることが明らかである」について、行政機関等との間に「見解の相違」が発生するリスクがあります! 詳細については、法律施行規則3条(5)、法律施行規則9条(4)を確認してください。(あるいは、タライマワシを覚悟したうえで、行政機関に確認しに行ってください)
◇
行政手続における特定の個人を識別するための番号の利用等に関する法律 (2013-05-31)
◇
行政手続における特定の個人を識別するための番号の利用等に関する法律施行令 (2014-03-31)
◇
行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則 (2014-07-04)
◆
特定個人情報保護評価指針 (2014-04-20)
◆
特定個人情報の適正な取扱いに関するガイドライン(事業者編) (2014-12-11)
[マイナンバー申請フロー(5)]