【IT担当者は必読!!】中小企業が知っておくべきマイナンバー制度とセキュリティ対策【確定申告】

【IT担当者は必読!!】中小企業が知っておくべきマイナンバー制度とセキュリティ対策【確定申告】
パソコン修理、パソコンサポート、データ修復、ITサポートをお探しなら【株式会社とげおネット】

 2015年10月よりスタートした「マイナンバー制度」。法人は、規模に関わらずすべての従業員からマイナンバーを収集し、「税」「社会保障」「火災対策」の3分野において、2016年1月以降、行政へマイナンバーを提出することが義務付けられました。収集したマイナンバーは秘匿性が高いため、情報漏洩が起きないように適切な安全管理措置が必要となります。このページでは、中小企業として最低限押さえておくべきセキュリティ対策について説明します。

  1. マイナンバー制度の概要を理解する!!
    1. マイナンバー制度の基本
  2. マイナンバーで企業のやるべきことと心構え
    1. 従業員のマイナンバー収集時に気をつけること
      1. 企業が収集すべきマイナンバー
      2. マイナンバーの収集方法? 個人番号カードがある場合
      3. マイナンバーの収集方法? 個人番号カードがない場合
      4. 扶養親族のマイナンバー取得時の注意点
      5. マイナンバーを扱う主体
    2. マイナンバーの利用・提供時に気をつけること
    3. マイナンバー保管時に気をつけること
      1. 情報漏洩した場合の罰則をする
    4. マイナンバーを破棄する時に気をつけること
      1. 削除記録例
  3. マイナンバー・4つの安全管理措置
    1. 安全管理措置とは
    2. ?組織的安全管理措置
      1. ?取扱責任者、取扱担当者を決める
      2. ?マイナンバー取扱業務の範囲、責任を明確にする
      3. ?取扱規程等に基づく運用
      4. ?取扱状況を確認する手段の整備
      5. ?情報漏洩等事案に対応する体制の整備
      6. ?取扱状況の把握及び安全管理措置の見直し
    3. ?人的安全管理措置
      1. ?事務取扱担当者の監督
      2. ?事務取扱担当者の教育
    4. ?物理的安全管理措置
      1. ?特定個人情報等を取り扱う区域の管理
      2. ?機器及び電子媒体等の盗難等の防止
      3. ?電子媒体を持ち出す場合の漏洩等の防止
      4. ?個人番号の削除、機器及び電子媒体の廃棄
    5. ?技術的安全管理措置
      1. ?マイナンバー情報へのアクセス制御
      2. ?アクセス者の識別と認証
      3. ?外部からの不正アクセス等の防止
      4. ?マイナンバー情報漏洩等の防止
  4. まとめ

マイナンバー制度の概要を理解する!!

 まず、マイナンバーとは、日本国内の全住民・法人に対して割り当てられた番号のことです。この制度は2015年10月に開始され、社会保障や税制度の効率性や透明性を高めるために利用されています。

マイナンバー制度の基本

 マイナンバー制度は、これまでバラバラに管理されていた個人情報を一元的に管理することで、社会保障や税負担の公平性を図り、それに関わる行政事務の効率化、ひいては国民の利便性を高めることを目的としています。はじめは「税」「社会保障」「災害対策」の3分野からスタートしましたが、徐々に「医療」「介護福祉」「年金」のみならず、「クレジットカードの申し込み」「株購入時の身元確認」等、民間分野も含めて、活用分野が順次拡大されていく予定です。

 マイナンバーは、「通知カード」により本人に通知されます。また、希望者は顔写真付きの個人番号カードの交付を受けることができます。この個人番号カードは、運転免許証などと同じように身分証明書として利用できます。マイナンバーは、このように個人個人の社会保障や税金、そのほか行政等が管理しているさまざまな個人情報にひもづけられるため、その管理は厳重にしなければなりません。番号が記載された個人番号カードを紛失したり、Webサイトなどで公開すると、本人に関するあらゆる個人情報が漏洩する可能性があります。なお、法人に付与される法人番号は、個人の場合と異なり、原則として公表されます。

マイナンバーで企業のやるべきことと心構え

 企業としては「税」「社会保障」に関連する手続きにマイナンバーを取り扱います。その際行うことは、従業員のマイナンバーの「収集」です。また、税務署に源泉徴収票や支払調書等を提出する際に、「従業員の名前」「従業員のマイナンバー」「法人企業に割り当てられたマイナンバー」を記載して「提供」しなくてはいけません。

従業員のマイナンバー収集時に気をつけること

 収集したマイナンバーは、情報漏洩が起こらないようにしっかりと「保管」しなくてはいけません。さらに、従業員の退職等により社会保障や税に対する手続書類の作成事務を処理する必要がなくなった場合で、所管法令に定められている保存期間を経過した場合はマイナンバーをできるだけ速やかに「破棄」「削除」しなくてはいけません。

従業員のマイナンバー収集時に気をつけること

企業が収集すべきマイナンバー

企業として収集すべきマイナンバーは次のものがあります。

  1. 全従業員(パートやアルバイト、契約社員を含む)
  2. 従業員の扶養親族(扶養親族手続き等で利用)
  3. 社外の依頼先(講演や原稿執筆の業務依頼で報酬が発生した場合のみ)

 収集対象者はパートやアルバイト、契約社員を含めた、全従業員のマイナンバーです。源泉徴収票や健康保険、厚生年金や雇用保険等の書類に記載の上、税務署や健康保険組合、ハローワーク等に提出する書類へ明記する必要があります。

マイナンバーの収集方法? 個人番号カードがある場合

 収集方法にもルールがあります。マイナンバー取得時の本人確認では、「個人番号確認」と「身元確認」を行う必要があります。たとえば従業員が個人番号カードを持っている場合は、1枚のカードを確認するだけで済みます。裏面に記載されている「個人番号」と、表面に記載されている「身元(実在)確認」(顔写真、住所、氏名、生年月日等)を同時に確認できるためです。

マイナンバーの収集方法? 個人番号カードがない場合

 個人番号カードを持っていない場合は、「通知カード」+「運転免許証」や「住民票(番号つき)」+「パスポート」等、番号の確認と身元の確認ができる2つの証明書類が必要になります。個人番号については、一度でも従業員のマイナンバーを収集し、収集したマイナンバーをファイル等に保管している場合、その番号で確認することも可能です。

扶養親族のマイナンバー取得時の注意点

 従業員から扶養親族のマイナンバーを取得する際でも注意点があります。企業として扶養親族の本人確認が必要なケースがあるのです。たとえば、国民年金の第3号被保険者の届出等です。
 これは、従業員の配偶者(第3号被保険者)本人が会社に対して直接届出を行う必要があるため、会社として直接配偶者の本人確認をする必要があります。通常は従業員が配偶者に代わって会社へ届出をすることが想定されますが、その場合、従業員は配偶者の「代理人」としてマイナンバーを提供することになります。したがって、会社としては代理人である従業員の本人確認を行う必要があり、かつ配偶者から従業員へ「委任状」を渡してもらい、会社にマイナンバーを提供する等の処理が発生することも考えられます。

マイナンバーを扱う主体

 企業で預かったマイナンバーは、漏洩が起こらないように厳重に管理しなくてはいけまません。そのため、マイナンバーを取り扱う人員を明確にする必要があります。まずは、「マイナンバー取扱責任者」と「マイナンバー取扱担当者」を決めてください。一般的な企業ではマイナンバーの取扱責任者は「総務や経理担当役員や部長」、取扱担当者は「総務や経理部門に所属する一般社員」となるケースが多いです。

年末調整で扶養家族がいる場合
 税の年末調整等では、従業員が会社に対してその扶養親族のマイナンバーの提供を行うこととされています。そのため、従業員は個人番号関係事務実施者として、その扶養家族の本人確認を行う必要があります。この場合、事業主が、扶養家族の本人確認を行う必要はありません。

マイナンバーの利用・提供時に気をつけること

 従業員から収集したマイナンバーは、税務署や市区町村、年金事務所や健康保険組合等の各種行政機関へ提出する源泉徴収票や支払調書等の各種法定調書、健康保険、厚生年金、雇用保険の被保険者資格取得届などに明記する必要があります。それに伴い、提出用の帳票類にマイナンバーの記入枠が追加されています。

 マイナンバーの利用範囲は、社会保険、税および災害対策に関する事務にマイナンバー法で限定されています。たとえばマイナンバーを社員番号として利用したり、営業マンの社員コードとしてマイナンバーを利用することはできません。

マイナンバー法
 「行政手続における特定の個人を識別するための番号の利用等に関する法律」のこと。正式名称が長いので、このページでは便宜上、「マイナンバー法」と表記させていただきます。

マイナンバー保管時に気をつけること

 従業員から収集したマイナンバーは、マイナンバー法の中で「特定個人情報」として定義されており、法人企業としては、情報漏洩が起こらないように厳重に「保管管理」しなくてはいけない対象となります。企業として情報漏洩対策が必要なものは「紙」と「データ」です。

情報漏洩対策が必要なもの
具体的な事例
紙媒体
収集したマイナンバーのコピー用紙、各種保存が必要な税関連、社会保障関連の書類 等
データ
財務、給与計算システム等に保管されているデータ 等

 たとえば、源泉徴収票に従業員の指名とマイナンバーが記載されている書類(紙)が手元にあるとします。食事休憩等で席をはずす場合、これらの資料が机の上に放っておかれたままになると、マイナンバーの取扱担当者以外の従業員の目に触れる恐れが生じます。そのため、席を外すときには鍵のついたロッカーや机の中にしまう等、物理的な配慮が必要になります(具体的な保管方法については、「4つの安全管理措置(物理的安全管理措置)」の中で説明しています)。
給与計算システム等、パソコンにマイナンバーを保存した場合は、次のような対策が必要です。

  1. マイナンバーが表示された画面が周囲から見えないようにオフィスのレイアウトを変更する
  2. パソコンの盗難防止のためにセキュリティワイヤーでパソコンを物理的にロックする
  3. USBメモリ経由で情報漏洩を防ぐためにパソコンのUSBを使用不可にする
  4. マイナンバーを取り扱う人以外はマイナンバーデーターベースにアクセスできないようにIDおよびパスワードによって厳重に管理する
  5. 外部からの不正侵入による情報漏洩を防ぐためにファイアフォールやウイルス対策ソフトを確実に導入する

このように非常に多くの取り組むべき事項が発生します。

情報漏洩した場合の罰則をする

 また、マイナンバーは「個人情報保護法」が適用される個人情報よりも厳格な保護措置を求められる「特定個人情報」です。そのため、個人情報保護法より罰則規定が強化されています。マイナンバーを意図的に漏洩させた場合は、法定刑の対象とある可能性があります。いずれにしても。マイナンバーを漏洩させないように、個人情報の取扱い以上に対策を必要があります。

行 為
法 定 刑
個人番号利用事務等に従事する者が、正当な理由なく、特定個人情報ファイルを提供。4年以下の懲役or200の万以下の罰金、兵料200万以下の罰金or併料
上記の者が、不正な利益を図る目的で、個人情報番号を提供または登用。3年以下の懲役or150万以下の罰金or併科
情報提供ネットワークシステムの事務に従事する者が、情報提供ネットワークシステムに関する秘密の漏洩または盗用。同上
人を欺き、人に暴行を加え、人を脅迫し、又は財物の窃盗、施設への侵入等により個人番号を取得3年以下の懲役or150万以下の罰金

特定個人情報保護委員会
 稀にニュース等で「公正取引委員会」が段ボール箱をたくさん抱えて、オフィスから出てくるシーンを見かけることがあります。公正取引委員会は、企業に対する監査権限を有しているため、場合によっては立ち入り検査を許可されています。今回新たに発足した「特定個人情報保護委員会」も、公正取引委員会と同様、監査権限を有している公的機関です。情報漏洩事件が社会問題化した場合には、特定個人情報保護委員会が監査権限を使って民間企業への監査を行うケースが生ずる可能性があります。問題が発覚する場合で多いのは内部からのリーク情報です。管理がずさんだったり、全く対応していない場合は、社内から委員会等へのリークも起こり得ます。いずれにせよ、特定個人情報保護委員会が提示するガイドライン(特定個人情報の適正な取扱いに関するガイドライン)に従って、情報漏洩が起こらないような対策を図る必要があります。

マイナンバーを破棄する時に気をつけること

 マイナンバーを「破棄」するにも制限やルールがあります。ここまでに説明したようなマイナンバーを利用する必要がなくなり、所定の保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄または削除しなければなりません。

保管書類
保管期間
根拠となる所轄法令
扶養控除申告書7年所得税法施行規則
厚生年金保険関係届出書類退職、解雇、死亡から2年厚生年金保険法施行規則
健康保険関係届出書類退職、解雇、死亡から2年健康保険法施行規則

 また、個人番号を破棄または削除した場合、削除したことを記録する必要があります。マイナンバーが記載されているファイルの種類や名称、時期、責任者、部署などのほか、消去や破棄の方法(溶解、焼却、シュレッダー等)をノートやパソコン等に記録しなくてはなりません。

削除記録例

  • 特定個人情報ファイルの種類・名称、時期、責任者、部署
  • 削除方法・・・・・・溶解、焼却、シュレッダー等
ワンカード化
 内閣府は、マイナンバーの推進ロードマップとして「ワンカード化の実現」を目指しています。「ワンカード化」とは、財布やカード入れにたくさん入っている、クレジットカードやポイントカード等をマイナンバーの「個人番号カード」に集約し、効率化を図ろうとする考え方です。たとえば、タバコの自動販売機でタバコを購入するとき、現在はTASPOを利用しています。これを「個人番号カード」で利用できるようにしたり、酒類の購入の際に「個人番号カード」を利用できるようにし、身元と年齢の確認ができるようにする事などを検討しています。2020年に行われる、東京オリンピックの会場入館の際にマイナンバーを利用することも検討材料のひとつです。不審者や犯罪者がテロを起こさないように入館規制を行うことも考えています。この場合は「ワンカード化」をより発展させ、指紋や網膜認証等の「生体情報」とマイナンバーを連携させ、自分の身体一つあれば様々なサービスを認証できるようにする仕組みも検討しています。自分の情報があらゆる場所で活用できる時代が目の前まで迫ってきています。

マイナンバー・4つの安全管理措置

 従業員のマイナンバーを預かる法人企業としては、マイナンバーの漏洩や盗難が起こらないように、しっかりと安全管理措置を施さなくてはいけません。特定個人情報の適正な取扱いに関するガイドラインには特定個人情報に関する安全管理措置が明記されています。

安全管理措置とは

 講ずべき安全管理措置の内容として「基本方針の策定」や「取扱規程の策定」の他に4つの安全管理措置が明記されています。4つの安全管理措置は「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」です。法人企業の情報漏洩対策として、具体的な内容が盛り込まれているので、マイナンバーを適切に管理するために、このガイドラインの内容を把握しておきましょう。

?【組織的安全管理措置】
  • 組織体制の整備
  • 取扱規程等に基づく運用
  • 取扱状況を確認する手段の整備
  • 情報漏洩事案に対応する体制の整備
  • 取扱状況の把握および安全管理措置の見直し
?【人的安全管理措置】
  • 事務取扱担当者の監督
  • 事務取扱担当者の教育
?【物理的安全管理措置】
  • 特定個人情報等を取り扱う区域の管理
  • 機器および電子媒体等の盗難等の防止
  • 電子媒体等を持ち出す場合の漏洩等の防止
  • 個人番号の削除、機器および電子媒体等の廃棄
?【技術的安全管理措置】
  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報漏洩等の防止

?組織的安全管理措置

最初に取り組むべきことは「組織体制の整備」です。マイナンバーを安全に管理するために、組織体制を整備する必要があります。

?取扱責任者、取扱担当者を決める

 まずは、マイナンバーの取扱責任者と取扱担当者を決めます。基本的には、マイナンバー取扱責任者と取扱担当者以外の従業員は、マイナンバーに触れられないようにします。なお、マイナンバーを取扱う人が複数介在する場合、取扱責任者と担当者を区分することが望ましいとされています。

?マイナンバー取扱業務の範囲、責任を明確にする

 次に、マイナンバーを取扱う業務上の役割と範囲を明確化します。たとえば、総務部門の事務担当者が取り扱うマイナンバーの範囲は「社会保障」のみ。財務部門の事務担当者が取り扱うマイナンバーの範囲は「税関連」のみ、といった具合です。
 さらに、マイナンバーを複数の部署で取り扱う場合、各部署における任務分担を決め、責任を明確にします。また、マイナンバーの取扱担当者が取扱規定等に違反している事実がある場合や兆候を把握した場合、どのように責任者へ報告・連絡するのかエスカレーション体制を定義します。

?取扱規程等に基づく運用

 取扱規程等に基づく運用状況や取扱状況がわかるように、システムログや利用実績を記録する必要があります。たとえば、特定個人情報ファイルの利用・出力状況の記録や、書類・媒体等の持ち出しの記録。ファイルの削除・廃棄記録。削除・廃棄を委託した場合、これを証明する記録等を残します。特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)を記録する仕組みを取り入れます。

?取扱状況を確認する手段の整備

 特定個人情報ファイルをどのように取り扱っているのか、現状どのようになっているのかを確認するための手段を整備、記録します。ここでは取扱状況を確認するために記録するのであって、特定個人情報は明記しないことに注意してください。

↓特定個人情報の取り扱い状況記録(例)

特定個人情報ファイルの種類、名称
責任者
取扱部署
利用目的
削除・廃棄状況
アクセス権を有する者
源泉徴収票
田中一郎
経理部
税務申請
田中、佐藤

?情報漏洩等事案に対応する体制の整備

 情報漏洩が発生する前の兆候を見つけたり、実際に情報漏洩が起こった場合にどのようなエスカレーション体制で会社や所轄行政機関に届け出るのか、二次被害や再発防止策をどのようにとるのか等、組織としての報告・連絡体制を整備します。たとえば以下のようなものを整備します。

  • 事実関係の調査および原因の究明
  • 影響を受ける可能性のある本人への連絡
  • 委員および主務大臣等への報告
  • 再発防止策の検討および決定
  • 事実関係および再発防止策の公表

?取扱状況の把握及び安全管理措置の見直し

 そして、マイナンバーが漏洩しないように、組織体制や安全管理体制を定期的に見直す必要もあります。自社内、あるいは外部の協力を受けながら、定期的な監査を行い、漏洩の可能性が見つかれば改善を行います。

?人的安全管理措置

人的安全管理措置とは、事務取扱担当者の「監督」や「教育」です。

?事務取扱担当者の監督

 経営をつかさどる事業者は、マイナンバー取扱責任者や担当者が、取扱規定などに基づきマイナンバーを適切に取り扱っているかどうかを監督し、確認する必要があります。たとえば、半年にに1回はマイナンバーの管理方法を経営会議で報告するようにルール付けしたり、経営者が取り扱い状況を実際の現場に赴き目視で確認するなど、組織としての取扱ルールを定めるとよいでしょう。
 なお、マイナンバーの取扱業務は委託や再委託をすることも可能です。たとえば社会保障や税関連の業務を委託している場合、社労士や税理士等に自社の従業員のマイナンバーを委託することができます。委託や再委託を行った場合、委託元である企業はマイナンバーの安全管理が図られるように委託先(社労士や税理士等)に対して、必要かつ適切な監督を行う義務が生じます。委託や再委託を受けた者(委託先)は、委託元である企業と同様にマイナンバーを適切に取り扱う義務が生じます。

?事務取扱担当者の教育

 マイナンバーの漏洩が起こらないように、故意に漏洩を起こしたときは法定刑として本人が処罰を受ける可能性があること、業務において気をつけるべきことを教育する必要があります。また、従業員に対してマイナンバーの取扱に対する留意事項を定期的な研修などを通じて伝えるといった、社員全員がマイナンバーに関する理解を深めるための教育を施す必要もあります。

動画でわかりやすくマイナンバーを解説!!

マイナンバーYoutubeチャンネル

 マイナンバーに関する情報が網羅されている内閣官房の正式ホームページ「マイナンバー 社会保障・税番号精度」には「マイナンバーYoutubeチャンネル」のリンクがあります。こちらでは動画で、企業が取り組むべき内容が端的にわかりやすく示されています。マイナンバーの取扱担当者のみならず、一般社員に対する教育のツールとしても使えるので、是非一度ご覧になってください。

?物理的安全管理措置

 物理的安全管理措置とは、紙媒体や、データなどが外部に流出しないように会社内のセキュリティ対策を整える措置のことです。物理的安全管理措置として取り組む内容は多岐に渡ります。

?特定個人情報等を取り扱う区域の管理

 マイナンバーを取り扱う事務を実施する場所のことを「取扱区域」、パソコンなどの情報システムにマイナンバーを保存し管理する場所のことを「管理区域」といいます。
 マイナンバーを取り扱う場合、取扱区域と管理区域を明記した上で、情報漏洩対策を施す必要があります。たとえば、税関連や社会保障関連の書類を整理する場合は「取扱区域」に該当します。この場合、マイナンバーの取扱担当者以外は立ち入らないように配慮する必要があります。たとえばパーティションで壁を作る。取扱区域を間仕切る、座席配置を変える、レイアウト変更を行う、などです。
 管理区域に対する物理的安全管理措置としては、入退室管理、管理区域へ情報機器(USBメモリやスマホ、USBハードディスクやパソコン等)の持込を制限する、ICカードやナンバーキー等を活用した入退室管理システムの設置が考えられます。

?機器及び電子媒体等の盗難等の防止

 マイナンバーが明記された紙等を事務上で取り扱う「取扱区域」、パソコン等情報システムに保存しているデータを取り扱う「管理区域」では、書類や電子媒体、電子機器が盗難、紛失を起こさないように、情報漏洩対策を施す必要があります。
 たとえば、マイナンバーが明記されている書類や電子媒体などは、施錠できるキャビネットや書庫に保管する、パソコンにマイナンバーを入れているのであれば、セキュリティワイヤーなどで物理的に固定する、といった対策が考えられます。

?電子媒体を持ち出す場合の漏洩等の防止

 マイナンバーが明記された書類や電子媒体などを外部に持ち出す場合に、マイナンバーが漏洩しないような措置を講ずる必要があります。ここでいう外部とは、管理区域や取扱い区域の外のことを指します。事業所内での移動時も措置の範囲に含まれます。追跡可能な移送手段を利用する等、盗難、紛失が起こらないように配慮が必要です。
 たとえば、パソコンにマイナンバーを入れる場合、安全に持ち出す方法として、持ち出しデータを暗号化する、パスワードによる保護、施錠できる搬送容器を利用することが考えられます。行政機関からデータの提出指示があった場合はそれに従ってください。
 書類を持ち出す方法としては、封緘や目隠しシール貼り付け、封筒への封入、鞄に入れて搬送するなど、紛失・盗難などを防ぐための安全対策を施してください。

?個人番号の削除、機器及び電子媒体の廃棄

 従業員の退職や解雇、死亡などによって、その番号を企業として利用する必要がなくなった場合で、所管法令に定められている保存期間を超過した場合、マイナンバーをできるだけ速やかに、復元できない手段で削除、また破棄する必要があります。
 電子媒体・紙媒体に記載されているマイナンバーを削除・破棄した場合は、その記録を残しておきます。削除・破棄の作業を外部事業者に委託した場合、証明書を入手し、間違いなく削除・破棄が行われているかを確認する必要があります。たとえば、次のような形です。

  1. 書類などを破棄する場合、焼却、溶解、シュレッダーによる裁断等を通じて復元不可能な手段を採用する
  2. マイナンバーが記載された書類は、保存期間経過後における破棄を前提とした手続きを定める
  3. マイナンバーが記録されているパソコン等の電子媒体を破棄する場合、専用にデータ削除ソフトで消去する、あるいは物理的に破壊する(復元不能な手段を採用する)
  4. 保存期間経過後にマイナンバーが削除されることを前提として情報システムを構築する

 こういった削除・破棄を「いつ」「だれが」「どのような手段で」行ったのかを記録しておく、責任者が最終確認を行うといった配慮が必要です。

?技術的安全管理措置

 マイナンバーをパソコン等の電子機器に保存したり管理する場合は、物理的安全管理措置に加えて、技術的安全管理措置を講ずる必要があります。具体的には次のような措置を講じます。

?マイナンバー情報へのアクセス制御

 マイナンバーを利用する取扱責任者や担当者以外はマイナンバー情報に触れることや操作することができないように情報システムでコントロールする必要があります。まずは「アクセス制御」です。
 給与計算システム等、情報システム上でマイナンバーを取り扱う場合は、当然ですが「個人の名前」と「マイナンバー」がデータベース上で関連付けられています。したがって、取扱担当者以外がアクセスできないように、システム上でアクセス制御をかける必要があります。たとえば、マイナンバー取扱者として「Aさん」が許可されているとします。同じ会社にいる「Bさん」はマイナンバー取り扱い担当者ではありません。Bさんがマイナンバーを閲覧することは業務規程上NGです。この場合、マイナンバーを取り扱うデータベースでは、以下のようなアクセス制御をする必要があります。

マイナンバー情報へのアクセス制御

 中小企業の場合は、マイナンバーを取り扱うパソコン端末と取り扱う人(総務、経理担当者)を限定してしまい、担当者以外の方は触れないように配慮してください。もっとも簡単な方法は、スタンドアロンのパソコンで、ユーザアカウントを管理し、部外者がそのパソコンを利用できないようにすることです。

?アクセス者の識別と認証

マイナンバーを取り扱う情報システムは、正当なアクセス権を保有する取扱担当者が、間違いなく正しいと保証できる形で本人を識別し、認証を行う必要があります。
 識別方法としては、ユーザーID、パスワード、磁気・ICカードの利用などが考えられます。中小企業では、ICカード認証のシステムを導入することは予算上難しいケースも考えられます。そのため、Windowsの標準ID管理昨日を用いて、セキュリティ対策をすることが有効です。もちろん、セキュリティ対策が不安で、しっかりと対策したい場合はICカード認証等を用いることは有益な対策となります。また、取り扱う機器を特定すること、取扱担当者を限定することなども有効な対策になります。

?外部からの不正アクセス等の防止

 情報システムに保管されているマイナンバーを外部から不正侵入やウィルス等の不正プログラムによる情報漏洩から守る仕組みを導入し、適切に運用する必要があります。

パスワードの取扱いに関する注意とお勧めルール
 せっかくマイナンバー取り扱い担当者を限定して、専用のIDとパスワードを生成したにも関わらず「パスワードを忘れると困る」とデスクトップパソコンやノートパソコンに付箋で貼り付けたり、入力規則が単純ですぐ見破られるようなパスワードだったり(自分の生年月日など)、パスワードを他で使っているものと同一のものにしたり(パスワードの使い回し)、ずさんな管理が情報漏洩を引き起こす要因にもなります。パスワードの規則として有効なのは「8文字以上で推測が難しく、おじと数字と記号を含める」ものです。たとえば「S」を「$」にしたり、「a」を「@(アットマーク)」にするだけでも、パスワードとして見破るのが難しくなります。

?マイナンバー情報漏洩等の防止

 マイナンバー情報をインターネット等で外部に送信する場合、通信経路上で情報漏洩が発生しないような措置を講ずる必要があります。インターネットでのデータのやり取りは、基本的には暗号化されていない情報が流れています。インターネット上のどこを通過するかわからないため、悪意のあるものが通信経路上に盗聴ツールを仕掛けて(スニッフィング)いる場合は、そこから情報が抜き取られる可能性があるのです。

 マイナンバーの重要な情報がこのような被害に遭遇しないためには通信そのものを「暗号化」する必要があります。通信経路を暗号化する方法としては「VPN(バーチャルプライベートネットワーク)」があります。拠点間通信を暗号化するときによく使われる技術です。ルータやファイアウォール等の通信機器同士で暗号化・復号化の鍵をやりとりして、データの送受信を行うときにその鍵を用いて暗号化・復号化を図るため、マイナンバー等の重要な情報がスニッフィングなどで漏洩することがなくなります。
 また、パソコン – ブラウザ間を暗号化する技術としては「SSL認証」があります。サイトのURL上に鍵マールがつき、【https://www…】となっている場合は、パソコンとブラウザ間の通信は暗号化する鍵を交換しておきながら暗号化したデータをメールで送受信する方法等があります。マイナンバーのやり取りをインターネット上で行う必要がある場合は、上記のような暗号化通信技術を用いる必要があります。

VPN(Virtual Private Network)
 仮想的に(Virtual) 組織内にプライベート環境を実現した(Private) ネットワーク(Network)のこと。通信会社の公衆回線を利用しつつ、組織内ネットワーク(Local Area Network)環境を仮想的に作る技術。たとえば本社Aと、支社B、支社Cが物理的に離れた場所にあるが、あたかも社内LANのようにセキュアな環境を実現したい。これを公衆回線網等を用いて、ネットワークを構築する場合に用いる通信技術のことです。

まとめ

マイナンバーの運用につてい解説させていただきました。このページの内容を理解していただければマイナンバーの運用に関しては問題ありませんので、何度も読み返していただければ幸いです。マイナンバーは個人情報に関わる重要案件です。しっかりとした管理・運用で企業としての責務を果たしていきましょう。

その他とげおネットITサポートブログ
togeo.netをフォローする
出張パソコン修理,データ復旧,インターネット設定,パソコンサポート,ITサポートなら株式会社とげおネット/東京,神奈川,埼玉,千葉

コメント