“口頭” で伝えることで得られる安心感と信頼感。社内のセキュリティリテラシー向上にも。
1. 課題: フィッシングによる情報漏洩リスク
少数精鋭のコンサルタント集団である〇〇コンサル社は、外部講師を招聘した勉強会を頻繁に開催しています。
- 外部講師への講演料を支払う
- 外部講師からマイナンバーを収集する
は、日常的に行われています。
〇〇コンサル社の “マイナンバー収集プロセス” は 「外部講師による申請フォーム入力」 がトリガーとなっています。申請フォームにマイナンバーが入力されると、外部講師を招聘した社員に対して、「本人確認」というタスクが割り当てられる仕組みです。
近年、この “マイナンバー収集プロセス” のトリガー部分(申請フォーム入力)に関して、一部の外部講師から、「フィッシングによる情報漏洩が懸念される」という声が聞かれるようになりました。
2. 解決策: マイナンバーの分割送信
〇〇コンサル社のマイナンバー申請フォームは、”リンクを知っていれば誰でもアクセスできるWebフォーム” です。したがって、デザインが模倣された 偽フォーム が作られる可能性は否定できません。
もし万が一、 偽フォーム によって外部講師のマイナンバーが詐取されるような事件が発生すれば、〇〇コンサル社としても、セキュリティ管理体制に対する不信感を招き、顧客や取引先からの信頼を失ってしまう可能性があります。
そこでプロセスオーナーは、このリスクを低減すべく、マイナンバーの分割送信という対策をとることにしました。
具体的には、マイナンバー申請フォームでは「マイナンバーの全12桁」を入力させるのではなく、「先頭8桁のみ」を入力させるように改めました。「残りの4桁」(末尾4桁)については、担当社員(”番号確認社員”)に口頭で伝える旨を記載しました。
この改善の結果、「情報漏洩の懸念が下がった」や「機密情報を全て送信しないので安心だ」といった感想が寄せられるようになりました。
申請フォーム (Before After)
ワークフロー図 (Before After)
各工程の説明 <Click to Open>
BEFORE (Advanced edition):
- (1a.社員): 役員従業員は、自身のマイナンバーと扶養親族のマイナンバーを申請します。あわせて番号確認担当者のメールアドレスを登録します。 ※[メッセージ開始イベント(フォーム)]
- (1b.個人): 個人事業主は、自身のマイナンバーを申請します。あわせて番号確認担当者のメールアドレスを登録します。 ※[メッセージ開始イベント(フォーム)]
- 〔x1.受理文を自動生成〕: ワークフロー基盤は、「受理通知メール」の本文を組み立てます。 ※[データ更新]
- 〔x2.確認担当を自動セット〕: ワークフロー基盤は、(申請者によるメールアドレス指名を元に)、「番号確認社員」をセットします。 ※[データ更新]
- 【3.写真書類で本人確認】: 番号確認社員が、対面にて本人性を確認します。 ※ヒューマン工程
- 【4.給与クラウドに登録】: 経理部の誰かが、申請者のマイナンバーを給与クラウドに登録します。 ※ヒューマン工程
- 〔x5.通知文を自動生成〕: ワークフロー基盤は、「手続完了通知メール」の本文を組み立てます。 ※[データ更新]
AFTER (Advanced edition):
- (1a.社員): 役員従業員は、自身のマイナンバー(先頭8桁)と扶養親族のマイナンバーを申請します。あわせて番号確認担当者のメールアドレスを登録します。 ※[メッセージ開始イベント(フォーム)]
- (1b.個人): 個人事業主は、自身のマイナンバー(先頭8桁)を申請します。あわせて番号確認担当者のメールアドレスを登録します。 ※[メッセージ開始イベント(フォーム)]
- 〔x1.受理文を自動生成〕: ワークフロー基盤は、「受理通知メール」の本文を組み立てます。 ※[データ更新]
- 〔x2.確認担当を自動セット〕: ワークフロー基盤は、(申請者によるメールアドレス指名を元に)、「番号確認社員」をセットします。 ※[データ更新]
- 【3.本人確認し4桁を入力】: 番号確認社員が、対面にて本人性を確認し、口頭で入手した末尾4桁を入力します。 ※ヒューマン工程
- 〔x4.文字結合(8桁+4桁)〕: ワークフロー基盤は、「マイナンバー12桁」を組み立てます。 ※[データ更新]
- 【4.給与クラウドに登録】: 経理部の誰かが、申請者のマイナンバーを給与クラウドに登録します。 ※ヒューマン工程
- 〔x5.通知文を自動生成〕: ワークフロー基盤は、「手続完了通知メール」の本文を組み立てます。 ※[データ更新]
ワークフロー図のスライダー比較 <Click to Open>
3. 効果
この “機密情報の分割送信” による改善効果は以下の通りです。
- 関係者満足度の向上
- 情報漏洩リスクに対する不安が軽減され、外部講師の満足度が向上しました。
- 企業イメージが向上し、業務を円滑に進められるようになりました。
- 情報漏洩リスクの低減
- 申請者は、偽の申請フォーム(「全12桁の入力」を求めるフォーム)を見分けやすくなりました。
- 偽の申請フォームが作られる可能性(申請フォームが模倣される可能性)が下がりました。
- コンプライアンス対応の強化
- 番号確認社員による「番号確認」の実施が、「4桁入力」によって明確に記録されるようになりました。
- マイナンバーを厳重に管理する意識が社内に浸透し、セキュリティリテラシーが向上しました。
4. 他業務での応用
この “分割送信” は、マイナンバー情報に限らず、機密性の高い情報を取り扱うあらゆる業務に応用することができます。
- クレジットカード情報:
- クレジットカード番号を分割して伝えることで、情報漏洩リスクを低減できます。
- 例えば、カード番号の前半と後半をそれぞれ別の方法で伝える、といった方法が考えられます。
- パスワード:
- パスワードを分割して伝えることで、情報漏洩リスクを低減できます。
- 例えば、パスワードの先頭10文字とそれ以降をそれぞれ別の方法で伝える、といった方法が考えられます。
- 医療情報:
- 名前データをID化し、カルテや検査結果などから削除することで、情報漏洩リスクを低減できます。
- ID名前テーブルは不必要に伝えない、といった運用が考えられます。
