マイナンバーの安全管理措置は中小企業の義務である!

マイナンバーを管理する中小企業では、安全管理措置を行うことが義務とされています。個人情報の漏えいがない様にきちんと準備しておく必要があり、担当者だけでなく会社全体で取り組むべき問題でもあります。

マイナンバーを漏洩させないために会社で取り組むべきこと!

自己暗示の効果を倍増させる心理テク「勝つイメージを自分に植え付ける」|「マイナビウーマン」 (14221)
via woman.mynavi.jp
マイナンバーは非常に重要な個人情報ですので、漏えい・滅失・毀損等の防止、その他の適切な管理のために、必要かつ適切な安全管理措置を講じる義務があります。番号法により、全ての事業者は、マイナンバーについて安全管理措置を講ずることとされています。担当者任せではなく、会社として取り組む必要があります。

万が一漏洩してしまった場合悪用されてしまう?

担当者任せではなく、会社全体で取り組むべきものが安全管理措置です。
マイナンバー社会保障・税番号制度 (14195)
via www.cas.go.jp
マイナンバーを使って社会保障や税などの手続きを行う際には、個人番号カードや運転免許証などの顔写真付きの身分証明書等により本人確認を厳格に行うことが法律でそれぞれの関係機関に義務付けられています。言い換えれば、万が一マイナンバーが漏えいした場合であっても、マイナンバーだけで手続きを行うことはできませんので、それだけでは悪用されません。マイナンバーが漏えいした場合には、本人の請求などにより、マイナンバーを変更することが可能です。
マイナンバーだけでは様々な手続きができないような仕組みになってはいますが、会社として漏洩しない仕組みづくりをする必要はあります。

安全管理措置の6つのポイントはこれ!

中堅・中小企業がマイナンバー制度において取り組むべきこと|企業マネジメント最新トレンド|中堅・中小企業をサポートする経営喝力 ビジネスIT活用index (14219)
via ss-smb.nikkei.co.jp
(1)基本方針の策定
企業として特定個人情報を適正に取り扱うことを宣言するものである。関係法令・ガイドラインなどの順守、取扱規程を定めていること、窓口などを明示すればよい。
2.取扱規程の策定

次に、「取扱規程」を策定します。ガイドラインでは、「事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない」との記載があり、取扱規程の策定が必須であることを明記しています。また、ガイドラインでは、「取扱規程等は、次に掲げる管理段階ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定めることが考えられる。具体的に定める事項については、(中略)安全管理措置を織り込むことが重要である」との記載があり、具体的に、

① 取得する段階
② 利用を行う段階
③ 保存する段階
④ 提供を行う段階
⑤ 削除・廃棄を行う段階
ごとに策定することが求められています。

<組織的安全管理措置のポイント>
1. マイナンバー関連業務の責任者と事務取扱担当者を分ける。
「責任者」と「担当者」で任務を区別することで、ミスや不正が起こらない組織体制にする、マイナンバーの取扱い状況を責任者が把握できるようにする、何か問題が発生したときの「報告」・「連絡」・「相談」体制を整えておくことなどが必要です。

2. マイナンバーの利用実績やシステムログを記録する仕組みを整える。
例えばエクセルなどを使って、マイナンバーの取扱い履歴を逐一記録しておくことが必要です。

事務を行うのは人であり、多くの漏洩事故が人絡みで起きると想定されることから、この人的安全管理措置は安全管理措置の中でも最も重要なものです。監督者も事務取扱担当者も、それぞれ自己の職責と特定個人情報を取り扱うことに関して、重要性を自覚することが人的安全管理措置の基礎となります。
物理的安全管理措置

「事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない」と定まっています。準備段階で必要なのはこのうちの最初の2項目です。
•a特定個人情報等を取り扱う区域の管理
•b機器及び電子媒体等の盗難等の防止

事業者は、マイナンバー(特定個人情報)等の適正な取り扱いのために、次に掲げる技術的安全管理措置を講じなければならない。

a アクセス制御:ガイドライン(事業者編)

情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取扱担当者および当該事務で取り扱うマイナンバー(特定個人情報)ファイルの範囲を限定するために、適切なアクセス制御を行う。

c 外部からの不正アクセス等の防止:ガイドライン(事業者編)

情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入し、適切に運用する。

事業者は以上の6つの安全管理措置を行う義務があることを忘れないようにしましょう。

マイナンバーに関する安全管理措置の研修も行っています。

パソコンサポート パソコントラブル PC業務委託 | Comtopia (14247)
via comtopia.jp
研修で行われるべき内容の例

全従業員共通
•マイナンバー制度の概要
•基本的なマイナンバーにおける禁止事項(本人の同意の有無にかかわらず、目的外での利用・収集・提供の求めの禁止)
•事業者・団体内部での安全管理措置の取組み
•マイナンバーについての相談窓口の周知

事務取扱担当者
•取扱規定等の概要説明
•組織的・人的・物理的・技術的安全管理措置の運用について
•個別の事務におけるマイナンバーの取扱いの状況
•マイナンバーの利用・管理・保管・廃棄についての具体的な方法
•マイナンバー取扱事務の委託について
•情報漏えい等の事案が発生、もしくは兆候が把握された時の対応について

事務取扱責任者
•安全管理措置全体の概要
•安全管理措置の運用状況の監督について
•安全管理措置の運用評価・見直し計画作成について
•委託先の管理について
•情報漏えい等の事案についての報告がなされた際の対応について

初めての事なので、しっかりと勉強して知識として身に着けておく必要がありそうです。

もし個人情報が漏えいしたら?アメリカの場合。

(14264)
via seiryokuzaininki-ranking.com
実際に日本のマイナンバー制度に相当する「社会保障番号」を1936年から導入済みの米国では、個人番号の漏えいにより数多くのトラブルが発生しています。

ある被害報告を挙げれば、Aさんがサマーキャンプの参加時に提供した社会保障番号がサイバー攻撃者の不正侵入によって盗まれ、気付かないところで、42の金融機関から借金を重ねられて、ひいては借金が150万ドルにも積み重ねられたという事例があります。この結果、Aさんは金融機関のブラックリストに載り、社会的信用を失うことになりました。

米国の連邦取引委員会からは、1170万件のなりすまし被害と毎年約5兆円の金銭的損害が報告されていますが、個人の被害については、上記のように金銭のケースだけでなくパスポート偽造や住民票移転・婚姻届提出が行われるなど多様な事件が発生しています。この時企業は、これら被害を受けた個人から訴えられるリスクが発生することも、十分理解しておく必要があります。

このようなことが起きないように、安全管理措置はしっかりと行っておく必要があります。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする


, , , , , まっきー