2015年10月13日火曜日

あなたにも届くマイナンバー そして、企業のセキュリティ対策は本当に大丈夫?

  • このエントリーをはてなブックマークに追加

2015年10月20日以降、国民1人1つのマイナンバー(個人番号)が「簡易書留」で通知開始されます。
普段、書留を受け取らない方にとっては、突然の簡易書留はびっくりするものです。さらに、簡易書留は本人または家族の受領印が必要なので、受け取りに多少の手間がかかります。

そんなマイナンバー制度の不安の素となるのは、こういうことではないでしょうか?
個人としても、企業の方にとっても、マイナンバー自体がどんなものか、どういう対応をすべきなのか、まだイメージができていないから。
ここでは、今月以降届くことになるマイナンバー通知以降のイメージや、企業としてどのように対応していくべきなのかを解説します。


どんな書類が送られてくるのか

●通知の書類イメージ 送られてくる簡易書留はこのようになっています。

※出典①
平成27年10月発行「いよいよ、マイナンバーを順次お届けします。」

封筒の中には、皆さん固有のマイナンバー(個人番号)が通知される書面と、来年1月から「社会保障」「税」「災害対策」の行政手続きで運用が開始される「個人番号カード交付申請書」(と、説明用パンフレット、専用の返信用封筒)が一緒になっています。

※出典①
平成27年10月発行「いよいよ、マイナンバーを順次お届けします。」

参考:「個人番号カード」のイメージ
「個人番号カード」の交付は申請者のみ対象です。

※出典②
内閣官房「マイナンバー 社会保障・税番号制度/マイナちゃんのマイナンバー解説」

マイナンバーは通知されたけど、どう使うの?

「マイナンバーが通知されたけど、どうするの?」
「会社でマイナンバーの係に任命される予定だけど、どんなことするの?」
いろいろ不安はあると思います。
結論、皆さんの状況によってさまざまな場面でマイナンバーを利用することになります。

※出典②
内閣官房「マイナンバー 社会保障・税番号制度/マイナちゃんのマイナンバー解説」

ちなみに、マイナンバーの告知に良く出てくるマスコットは「マイナちゃん」と言います。

マイナンバー制度ができて、企業でのセキュリティ対策はどうする?

一般企業では、行政機関、地方公共団体などに提出する書面にマイナンバーを記載します。
具体的には、源泉徴収、雇用保険、健康保健、厚生年金、個人への支払い(法人への支払いは法人番号を使用)、奨学金などがマイナンバーに関わってくることになり、セキュリティや情報漏洩への対策が必要です。

マイナンバーの管理は、「誰が?」「何を?」「どう管理する?」といったことをしっかり決めておくことが必要です。
従業員の人数が少なく、人の異動があまりない会社であれば、管理者を決めて対応するのも良いですが、社会保険や税といった書類を多く処理する企業、たとえば、従業員の採用や派遣業、アルバイトを多く雇う場合は、管理する人や工数、スキルに心配であれば、マイナンバーに対応したソフトウェアやソリューションを導入するのも良いでしょう。

■マイナンバーを書いた資料の保管義務はあるの?

何をどれだけの年数保管する義務があるかについては、法律で規定されています。

「行政手続における特定の個人を識別するための番号の利用等に関する法律」
記録の義務【第23条、第26条、令第29条、平成26年内閣府・総務省令第85号第47条】
第23条第1項及び第3項(第26条により準用する場合を含む。)の規定により、総務大臣、情報照会者及び情報提供者は、情報提供ネットワークシステムを使用して特定個人情報の提供の求め又は提供があった場合には、情報提供ネットワークシステム及び情報提供ネットワークシステムに接続された各自のサーバーに、次に掲げる事項を記録し、7年間保存しなければならない。
① 情報照会者及び情報提供者の名称
② 提供の求めの日時及び提供があったときはその日時
③ 特定個人情報の項目
④ 提供の求めに係る事務をつかさどる組織の名称
⑤ 情報照会者の処理する事務
⑥ 提供の求めが第21条第2項各号(第26条により準用する場合を含む。)に掲げる場合に該当する場合はその旨
⑦ ④から⑦までに掲げるもののほか、総務大臣が定める事項

※出典③
「行政手続における特定の個人を識別するための番号の利用等に関する法律」全文はこちら

きちんと管理をしないと罰則の対象にも

マイナンバーの管理を怠っていると、故意による漏洩や管理体制不足があれば、懲役または罰金刑となる可能性があります。

たとえば、
・正当な理由なく、業務で取り扱う個人の秘密が記録された特定個人情報ファイルを提供した場合、「4年以下の懲役もしくは200万円以下の罰金」を科されます。
・管理監督責任体制に問題があった場合、特定個人情報保護委員会から、「業務改善に関する勧告や命令」を受けます。特定個人情報保護委員会の命令に従わない場合、情報漏えいが起こっていなくても、「2年以下の懲役もしくは50万円以下の罰金」を科されます。
などです。
※詳しくは、出典④
内閣官房「マイナンバー 社会保障・税番号制度/(5)個人情報の保護に関する質問」)をご覧ください。

どうやってセキュリティ対策をしていくのか?

●洩れる経路をシャットアウト
実際に情報管理のトラブルが表面化するような漏洩事件は、管理している組織外部からの関わりよりも、内部の人が関わっていることが多いのが現実です。 外部からのアクセスを管理しても内部でのアクセスをなおざりにしていては、対策が不十分と考えられます。従業員を信頼しつつ、管理すべき所はきちんと対応しておく方が良いでしょう。

●脅威をシャットアウト
外部や内部から、マイナンバーの資料にアクセスする経路にファイアーウォールなど「関所」を設け、都度確認するのと、まさかの時のためにログを残すようにしましょう。

●管理体制をきっちりと
「誰がマイナンバーの資料を閲覧したり、データを開けたりしたのか?」ということを管理が必要で、資料にアクセスできる人を決めておくほうが望ましいです。

マイナンバーのセキュリティ対策で比較的手軽に対策できること

・PCのウイルス対策ソフトや、セキュリティー対策を最新のものにしておきましょう。
・資料を保管する場所や人、ルールを決めておきましょう。
・マイナンバーは何に運用するかはさまざまですが、自社で何をどのように運用すべきなのかを運用開始前によく検討しましょう。
マイナンバー管理用に販売されたソフトウェアがあれば、アクセスのログや管理方法が確立されているので、マイナンバー初心者の方が紙やローカルで管理されるよりも比較的管理しやすくなっています。ただし、ものすごく高額なシステムをわざわざ導入するよりは、管理をきちんとすることが重要です。

本記事は、以下の資料を参考にしました。 社会保障・税番号制度<マイナンバー>特集ページ 出典:政府公報オンライン http://www.gov-online.go.jp/tokusyu/mynumber/index.html
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る