マイナンバーの管理をするにあたって全てが完璧という中小企業は少ないと思います。では具体的にどのようなことに気をつけていけば良いのかを考えてみましょう。
先ずは浮き彫りの問題を見つめましょう。
もしもマイナンバーを管理しているPCや鉄庫をいつでも誰でも簡単に利用できる環境があるとしたら、不正利用の危険性を避けられません。内閣府のガイドラインでは、取扱責任者や担当者の選任が義務付けられ、使用する情報システムへアクセス制御やアクセス者の識別・認証を求めています。(中略)
マイナンバー制度は、企業にとって負担が純粋に増える制度といえます。帳票を扱う総務・経理部門だけでなく、システム部門やコンプライアンスに関わる部門など、幅広い部門に影響が及ぶことが想定されます。
マイナンバー制度の導入まで、まだ時間があるので、まずは、どういった業務や書類がマイナンバーの記載対象になるか整理が必要です。
では政府のガイドラインを見てみましょう
≪手法の例示≫
取扱規程等は、次に掲げる管理段階ごとに、取扱方法、責任者・事務取扱担
当者及びその任務等について定めることが考えられる。具体的に定める事項
については、C)~F)に記述する安全管理措置を織り込むことが重要である。
①取得する段階、②利用を行う段階、③保存する段階、④提供を行う段階、
⑤削除・廃棄を行う段階
確かに政府のガイドラインでも例を上げながら説明しているんですね。
via kids.wanpug.com
アクセス制御やアクセス者の識別・認証とはどういうものか
アクセス制御
フォルダ/ファイルへのアクセス権設定
● ユーザアカウントによる特定個人情報ファイルへのアクセス権の設定
● 特定個人情報ファイルを利用することが出来るシステムに対するアクセス権の設定
アクセス権の可視化
● 事務取扱担当者の変更(異動や退職、休職など)の際にミスが無いように定期的に
特定個人情報ファイルのアクセス権一覧を確認
※利用者を事務取扱担当者のみに限定
特権ユーザの権限最小化
● administratorや、root等の特権ユーザでも、無条件で特定個人情報ファイルを参照させないアクセス者の識別と認証
ログイン時のユーザ認証(ID/パスワード)
● ユーザ認証を行うことで、ユーザアカウントを使いまわさない
※ユーザアカウントと実際の利用者を特定する
二要素認証
● ユーザ認証に「ID/パスワードなどの知識を利用したもの」、「ICカードなどの持ち物を利用
したもの」、「指紋や虹彩などの身体的特徴を利用したもの」などから複数利用することで、
ユーザアカウントの不正利用をさせない
ID管理
● administratorや、root等の特権ユーザ(共有)でも、実際に利用した人物を特定できるようにする
マイナンバーと総務部門との比重
「企業・組織におけるマイナンバー対応に関する実態調査」(調査概要は記事末に掲載)では、8つの選択肢を挙げて、マイナンバー対応作業の実施・実施予定・実施想定層618件に、「関連する部門」をいくつでも、「主管する部門」をひとつだけ回答してもらった。この結果、マイナンバー制度対応の主役は、情報システム部門というよりは、総務部門や人事部門であることが分かった
人事部というのは想像ができますが、総務というのは意外でした。
情報部門などはそれほど関係ないように思ってもセキュリティなどの観点から結局は関わってくるのではと思います。
情報部門などはそれほど関係ないように思ってもセキュリティなどの観点から結局は関わってくるのではと思います。
何が自分にできるのかをしっかり把握するのが大切です
マイナンバーとコンプライアンスに対する方面については仕事上の取引先というだけではなく、法律面も関わってくるのが考えられます。
法律面にとっては間違った解釈をしてしまうと、後でとんでもない問題に発展する可能性があります。
コストがかかるのが嫌だと思って後回しにするのではなく、社労士などに相談をするのもひとつの手段かもしれません。
最近では社労士などがマイナンバーの知識だけではなく管理ツールの提供をしている事務所もあったりします。
従業員の教育の前に経営者である自分がマイナンバーについて正しく理解していなければいけません。
法律面にとっては間違った解釈をしてしまうと、後でとんでもない問題に発展する可能性があります。
コストがかかるのが嫌だと思って後回しにするのではなく、社労士などに相談をするのもひとつの手段かもしれません。
最近では社労士などがマイナンバーの知識だけではなく管理ツールの提供をしている事務所もあったりします。
従業員の教育の前に経営者である自分がマイナンバーについて正しく理解していなければいけません。
しかし、これを機に企業の情報に対する意識が上昇し、社会全体の安全性が上がるという効果も期待しています。