特集 情シス事情を知る
マイナンバーの情報セキュリティ第1回
マイナンバーと機密性
2016年7月
マイナンバーの安全管理措置
はじめまして経営コンサルタントの伊地知克哉と申します。PマークやISMSの認証コンサルティングをしています。
本コラムでは、今年から始まったマイナンバー制度の情報セキュリティ面について運用ポイントを3回の連載で解説していきます。
制度は開始されたといっても実務はまだ途に就いたばかりで、中にはマイナンバーの取扱ルールすら決めていない企業もあります。たとえば昨年のマイナンバー交付時期に合わせて準備をしていた企業では、下表のようなマイナンバーの取扱いが行われていたことでしょう(例示です)。
図表1 取扱い例
| H27.9.1 | 従業員への制度の説明
|
| H27.10.5 | 従業員への周知徹底
|
| H27.11.2 | 特定個人情報の委託契約取り交わし
|
| H27.12.1 | 従業員のマイナンバー取得
|
| H28.4.1 | 新入社員のマイナンバー取得
|
ただ、この例のうち雇用保険手続については届出書にマイナンバーの記載がなくても受け付けられています(平成28年6月末現在)。これはまだマイナンバーを取得できていない企業にも配慮した対応のようですが、7月からは原則記載が義務づけられるようです。
第1回目はそうした企業の方々にも必見のマイナンバーの安全管理措置についておさらいをします。運用中の企業の方々には、運用点検のつもりでお読みいただけると幸いです。
マイナンバーの安全管理措置のおさらい
組織的安全管理措置:規程類の整備
個人情報取扱事業者は、既に個人情報に関する規程やマニュアル・手順書等があります。したがって、従来の規程類にマイナンバーの取扱ルールを追記し必要な記録様式を整備すればよいでしょう。
これに対して個人情報取扱事業者ではない中小企業は、何をどうしてよいかわからないようです。加えて昨年9月に改正された個人情報保護法では適用除外要件が廃止されたので、マイナンバーだけではなく、個人情報についても規程類を整備する必要があります。
規程を整備するうえで最初に取り組むことは、自社でマイナンバー取扱事務を明確にすることです。ほぼすべての事業者に係るのが年末調整や雇用保険の届出です。社員数が多い企業や入れ替わりの激しいバイトを抱える企業では年末調整事務が大変でしょう。
マイナンバー安全管理の要諦
マイナンバー事務は、従来から行っていた年末調整や社会保険届出書類にマイナンバーを追記するものです。したがって、マイナンバーと紐づく個人情報の範囲は、こうした届出書類に必要な範囲内でよいはずです。
マイナンバーの安全管理で考慮すべきは、個人番号と関連づけて管理される個人情報の範囲を明確にすることです。ある企業では、各社員と紐づくコード番号とマイナンバーをリスト化して金庫に保管して、社員情報(役職・等級・給与・家族・人事評価等)とを分離管理しています。金庫を開けられるのは総務部長と次長だけなので、社員の持ち出しや盗難リスクほとんどありません。仮にリストが盗まれても不規則なコード番号とマイナンバーのリストなので、個人を識別することは困難です。
マイナンバー安全管理の要諦はここにあります。マイナンバーは個人情報ですが、それだけでは12桁の数字ですから個人を識別することは困難です。しかし、社員情報と紐づくと話は別です。
一般的に企業規模が大きくなると社員情報は複数の部署に点在して保管されていきます。マイナンバー規程を整備する際は、個人情報の取扱手順も含めて見直すことが肝要です。
人的安全管理措置:事務取扱担当者の管理
マイナンバーを取扱うのは経理部門や総務部門の方々になるでしょう。そのため事務取扱担当者が複数いる場合は責任者を選任する必要があります。ここで悩むところは担当者教育と監督方法です。監督は取扱ルールに従った運用チェックや定期監査を行うとよいでしょう。教育は取扱手順を周知徹底するとともに人事異動や退職に伴う引継ぎのための運用手順を明確にしておくことも大切です。
また事務取扱担当者には「特定個人情報に関する秘密保持誓約書」を取り交わしたり、企業によっては就業規則を変更したりすることも必要です。
物理的安全管理措置:取扱区域と保管区域
マイナンバーの取扱場所を明確に定めて、業務中に覗き見がされないよう間仕切り等で取扱区域を設定します。さらに情報システムの管理区域を設定します。管理区域の入退室記録や施錠管理の方法、機器類等の持込制限(私物スマホ等の持込禁止等)ルールを定めます。
取扱区域や管理区域はオフィスの物理的な制約により、上記の対応ができない企業もあるでしょう(例:ワンフロアー等)。気をつけなければいけないのは、シェアオフィス内でのマイナンバーの取扱いです。机の配置転換や会議室でマイナンバー事務作業を行う等の工夫が必要です。
また電子媒体に特定個人情報のデータを保存して持ち運んだり、通知カードのコピー等を廃棄したりするルールも明確にする必要があります。
技術的安全管理措置:アクセス制限等
マイナンバーをすべて書類で取扱うのであれば、電子データが発生しないので技術的安全管理措置は必要ありません。しかし、社員が数百人・数千人となると、事務の効率化の観点からデータ化せざるを得ません。
マイナンバーの電子的な取扱いについては既存の給与計算ソフトのバージョンアップやクラウドサービス等、様々な選択肢があります。いずれのサービスを使用するにしても、社内規程で定められた事務取扱担当者の職務範囲内でアクセス制限がかけられていることや不正アクセス対策といった対策が必要です。
給与計算ソフトを使用するなら、管理区域に端末を設置して、事務取扱担当者が管理区域で業務を行うのが原則的な対応でしょう。加えて専用端末はインターネットにアクセスできないスタンドアロンが望ましいでしょう(ソフトのアップデートはCD-ROMで行う)。
まだ間に合うマイナンバーの安全管理措置
以上マイナンバーの取扱は企業規模により多少の差はありますが、考え方は同じです。マイナンバーは取得したけど規程類はまだという企業やこれからマイナンバーを取得する企業の方々は、下図のチェックリストを使って自社の対応状況を点検してみてください。
図表2 マイナンバー対策チェックリスト
| ステップ | 具体的な対応 |
|---|---|
| 取扱規程等を整備する | 以下の運用手順に関する規程等を整備するとともに、運用記録の様式を作成する。 |
| 事務取扱担当者を決める | 事務取扱担当者の職務内容や権限と責任を定める(社内規程:組織的安全管理措置)。 事務取扱担当者に非開示契約を締結する(人的安全管理措置)。 事務取扱担当者の教育と監督に関するルールを定める(組織的・人的安全管理措置)。 |
| 事務範囲を決める | 特定個人情報を取扱う行政事務を洗い出し利用目的を特定する(組織的安全管理措置)。 利用目的を社員等、取引先等に通知または公表する(組織的安全管理措置)。 本人確認手段を定める(組織的安全管理措置)。 特定個人情報のリスクを分析し、漏洩防止や目的外利用を防止する(安全管理措置全般)。 |
| 取扱区域等を決める | 特定個人情報を取扱う場所(取扱区域)や保管場所(管理区域)を設定し、物理的安全管理措置を行う。 |
| 委託先の管理をする | 委託先の評価基準を定め選定する(人的安全管理措置)。 委託先と契約書等を締結する。再委託がある場合は事前承諾手続を行う(人的安全管理措置)。 |
| 社内教育を実施する | マイナンバー制度の開始に関する社内研修等を実施し、社員等に理解を促す。 →利用目的の通知、個人番号の取得時期や本人確認手段についても周知します。 |
| マイナンバーを取得する | 本人確認を行い個人番号を取得、特定個人情報ファイルを作成する(技術的安全管理措置)。 |
| マイナンバーを利用・保管する | 具体的な行政手続にあたり個人番号を書類に記載して提出する。マイナンバーの取扱記録をつける。 |
| 継続的改善を行う | 新しい行政事務の追加等、制度改正に対応するためにも継続的完全を定期的に行う。 |
-
注:
この表は、マイナンバー対応のオーソドックスな手順ややるべきことを列挙したものです。
具体的な運用手順は、企業規模や取扱状況により異なることがあります。
あくまでも現状確認のためのご参考にしてください。
次回はマイナンバーの安全管理措置について事例を用いてより詳しく解説します。