特集 情シス事情を知る
マイナンバーの情報セキュリティ第2回
マイナンバーの完全性
2016年8月
マイナンバーの完全性
前回はマイナンバー漏洩防止に欠かせない安全管理措置のポイントをおさらいしました。しかし、いかに機密性が保持できても、取得時に番号確認ミスがあるとそれ以降の対策は意味を持ちません。今回はすべての企業が最初にぶつかる課題であるマイナンバーの取得に関して事例を交えて解説していきます。
マイナンバー取得の困難性
既にマイナンバーの取得を完了している企業もあれば、まだという企業もあるでしょう。マイナンバーの取得段階における困難性は本人確認です。本人確認は下表の3パターンが原則的な方法です。
パターン | 番号確認 | 身元確認 |
---|---|---|
1 | 個人番号カード(裏) | 個人番号カード(表) |
2 | 通知カード | 運転免許証やパスポート等 |
3 | マイナンバー入り住民票 | 運転免許証やパスポート等 |
本人確認が困難なケースへの対応方法
全国に拠点がある企業や人の入退社が激しい業種での本人確認方法
ケース1:ある研修会社の例
数百名いる個人の登録講師に氏名や住所を記載した個人番号提供書を送り(身元確認)、記載内容に相違がなければ署名した上で通知カードのコピーを添付して簡易書留で返送。書留代は会社負担で同様の方法で対応しています。
ケース2:ある小売店のチェーンの例
社内システムに社員やアルバイトが自らログインして個人番号を入力、運転免許証かパスポートの画像を添付する対応を実施、テナントの個人オーナーはケース1と同様の方法で対応。
全部委託の問題意識
昨今では持ち株会社制度が定着していることから、給与計算や社会保険関係の間接業務のすべてをホールディングス会社(親会社)やグループ会社に全部委託しているケースがよくあります。全部委託するということは、本人確認も委託するということも含みます。企業によっては税理士や社会保険労務士に一部業務委託しているケースもあります。
このように全部または一部を業務委託した場合は以下の様なリスクが考えられます。
- 委託元の社員全員がマイナンバーの取扱ルールを理解していないリスク
- 委託先の監督義務をどう行うのかがわからないというリスク
- 再委託先による漏洩リスク
また、『特定個人情報取扱いガイドライン』(注1)は「委託者と同等の安全管理措置が講じられているか、あらかじめ確認しなければならない」とあり、具体的な確認事項は以下が挙げられています。
- 委託先の設備
- 技術水準
- 従業者に対する監督・教育の状況
- 委託先の経営環境等
子会社が親会社を監督するとか、もともと業務処理に限界があるから税理士等の専門家に委託している企業にとっては違和感を覚えるはずです。たとえば親会社に全部委託している場合、子会社に事務取扱担当者は必要でしょうか? 個人的な解釈ですが、少なくとも自社のマイナンバー取扱いについての社内アナウンスや教育、委託先の監督をする必要はありますから、その意味で事務取扱担当者はおくべきです。個人情報保護管理者が兼務するとか、委託先の窓口部門の社員が事務取扱担当者となるべきでしょう
注1:個人情報保護委員会発行の『特定個人情報の適正な取扱いに関するガイドライン』
委託先との契約締結
委託先とは契約内容に盛り込むべきものとして下表のようなものが規定されています。
番号法GL第4-2-(1)委託の取扱い(盛り込まなければならない) |
---|
秘密保持義務 |
事業所内からの特定個人情報の持出しの禁止 |
特定個人情報の目的外利用の禁止 |
再委託における条件 |
漏えい事案等が発生した場合の委託先の責任 |
委託契約終了後の特定個人情報の返却又は廃棄 |
従業者に対する監督・教育 |
契約内容の遵守状況について報告を求める規定 |
番号法GL第4-2-(1)委託の取扱い(盛り込むことが望ましい) |
---|
特定個人情報を取り扱う従業者の明確化 |
委託者が委託先に対して実地の調査を行うことができる規定 |
親会社と子会社間では包括的な業務委託契約が結ばれていることもあるでしょうから、ここまで細かい条項はないかもしれません。必要に応じて契約書を再締結するとか覚書を追加的に締結するなどの対応が必要でしょう。
特にチェックを要するのは再委託に関する条項です。なぜなら再委託についてはマイナンバー法で義務化されているため、従来の委託契約においては明文の規定がない可能性があります。『個人情報の保護に関するガイドライン』(注2)においては、委託契約に盛り込むことが望まれるものとして「再委託に関する事項(再委託を行うに当たっての委託元への文書による事前報告又は承認)」が追記されていますが、個人情報保護法における義務規定ではありません。
この『個人情報の保護に関するガイドライン』の改正の背景には記憶に新しい大量漏洩事件を受けての委託先の監督義務についての見直しが必要との認識からです。過去の漏洩事案においても委託先による漏洩、それも再委託先によるものが多く問題視されていました。現実には再々委託もあります。委託先が何社にもわたっていくと、委託元からはその取扱状況が把握できなくなります。
親会社に全部委託するといっても、その先に税理士や社会保険労務士に再委託しているケースもあるでしょう。マイナンバーの委託元は再委託先に対する間接的な監督義務がありますので、漏洩事件が起こった場合、再委託に関する契約条項や間接的監督義務に関する法令違反リスクを踏まえた対応が必要か検討しておくべきです。
最近見受けられるケースとしては、税理士や社会保険労務士がグループ法人として同じフロアで業務を行っている際は注意必要だと思います。士業においては年末調整や算定基礎届等、一定期間に大量の書類やデータを処理しなければならない関係上、個人情報へのアクセスを全職員としたり、専用システムを共通パスワードで運用を行っていたりするケースがあります。
安全管理措置の原則からするとアウトな対応ですが、業務の性質上、Pマーク審査やISMS審査では許容されています。ただし、最近の審査実務では不適合になるケースもあります。第三者認証をパスしているからいいというのではなく、相手先を訪問して運用実態を確認したり、自社の取扱担当者が誰かを確認したりすることも検討を要するでしょう。
注2:経済産業省発行の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』
委託先の調査方法とメリット
『特定個人情報取扱いガイドライン』では委託先への実地調査ができる規定を契約内容に盛り込むことが望ましいとあります。この点についてはヒアリングシートに記入させ回収する簡易なものから、直接事務所等を訪問してヒアリングと一緒に現場確認を行う本格的な調査まであります。
実地調査のリスク -突っ込んだ調査は下請けいじめ?-
ある支援先の実地調査に同席したことがありますが、委託元の担当者はPマークの要求事項を順に確認するとともに運用記録を見ていました。中でも教育テキストはコピーを要求してきました。もちろんお客様は受け入れましたが、あまり突っ込んだ調査をすると下請いじめといった法令違反のリスクがあることにも配慮するべきでしょう。
先の経産省の『個人情報の保護に関するガイドライン』でも「優越的な地位にある者が委託元の場合、委託元は、委託先との責任分担を無視して、本人からの損害賠償請求に係る債務を一方的に委託先に課すことがあってはならない」と明記されています。
実地調査のメリット -社員の意識が変わった!-
もっともこうした実地調査は委託先にもメリットがあります。それは社員の皆さんの意識が変わることです。先日もある支援先から「社内教育をもっとやってほしい」と依頼を受けました。実際、研修の際にも社員の方々からの質問が多くあり、全社的に安全管理措置への意識が高まっています。また委託元もこうした調査により自社の安全管理措置を見直すヒントをもらうこともあります。
マイナンバーの定期運用チェック
全国に拠点がある企業や人の入退社が激しい業種での本人確認方法
チェック1:記録されているか?
『特定個人情報取扱いガイドライン』ではマイナンバー規程等がしっかりと運用されているかシステムログや利用記録をつけることが例示されています。またマイナンバーの取扱状況がわかる記録類の作成も言及しています。具体的にどのような規程や記録様式を行うかは企業規模や取扱事務の特性に応じて適切に採用することが大切です。
チェック2:適正な取扱いができているか?
定期的にチェックする仕組みを作る
本格運用が始まったらマイナンバー取扱手順や業務フローに基づく適正な取扱いができているかを定期的にチェックする仕組みも必要です。Pマークなどの内部監査を行う企業では一緒に実施することで効率的にできます。残存リスクの確認や新たな脅威への対策など、こうした定期運用チェックの仕組みによりリスクの低減化を図ることがマイナンバーの取扱いでも必要です。
こうした取扱手順や業務フローを可視化しておくと、担当者の異動や退職に伴う業務の引き継ぎにも有効です。業務フローがそのままチェックリストにも応用できるメリットもあります。
マイナンバーの変更に備える
また年末調整や退職時など、マイナンバーの追加・取得漏れや変更の有無確認を行う時期等も決めておくことも有効です。マイナンバーは原則生涯変わりませんが、漏洩事件や通知カードの紛失等、役所の職権や本人申請により変更されることがあります。一度取得したらおしまいではなく、年末調整事務の際に番号変更がないかのアナウンスをするといったことも必要です。
関係機関のWEB等を確認する
マイナンバー制度はまだ始まったばかりで、実運用の細かいところは変更があります。特に社会保険関係は来年の夏頃からマイナンバー活用が本格的に始まると思われます。関係書類の様式変更や届出の開始時期など、関係機関のWEBを定期的にチェックしてリアルタイムに対応できるようにする必要があります。
今後は社会保険関係の取扱いが来年あたりから本格化してくると思われます。新しい取扱手順が必要かなど、担当者は常に最新の情報収集に努め、適正な取扱いができるようにする必要があります。
次回は改正個人情報保護法の対応も踏まえ、規程が形骸化しないための実践的な作り方について業務フロー(リスク分析を含む)の大切さを解説します。
マイナンバーの情報セキュリティ
筆者プロフィール
伊地知 克哉(いじち かつや)
証券会社での営業、税理士事務所での法人決算や確定申告業務、経営コンサルタント会社でのソフトウェアメーカーの開発・販売などを経験し2000年に中小企業診断士として独立。
税理士事務所での経験を活かした事業計画書やバランススコアカード作成のセミナーやコンサルティングを行う。その後、事業承継対策や相続対策の支援を行うため行政書士の資格も取得。税理士や司法書士との連携によるコンサルティングも手掛ける。
2014年からは株式会社バルクに入社し、プライバシーマークやISMSの取得・更新支援のコンサルティング業務を担当する。最近では、マイナンバー対策のセミナーや著作も手掛ける。