マイナンバー流出!?中小企業が取るべき対策は?

事業者は、従業員のマイナンバーを提出してもらうことが可能です。保管しておく必要がありますが、万が一流出させてしまったら、どうなるのか?中小企業はどんな対策を立てるべきなのか?

2016年1月からマイナンバー制度がスタートしました。企業の事務処理にも影響が出ています。大きく変わったところといえば、やはり従業員のマイナンバー(個人番号)を収集し管理する必要があるということです
 (35596)

事業者が従業員のマイナンバーを収集できる範囲は?

●マイナンバーは社会保障分野や税金分野に利用される。
マイナンバー制度が導入されるのは、社会保障や税制の不平等さを是正し、公正で公平な社会を実現するためです。マイナンバーと個人情報を結びつけて管理すれば、所得や家族の状況などを一覧することができるようになりますので、不正受給や脱税といったルール違反を摘発することができるというわけです。

●社会保障や税金の手続きは企業が代行している。
通常、会社員には確定申告の義務がありません。これは、企業が従業員のかわりに社会保障手続きや源泉徴収を行っているからです。
ということは、マイナンバー制度がスタートすると、企業はこれらの手続きをする際に従業員のマイナンバーを記入する必要が出てくるため、マイナンバーの収集が必要になるというわけです。

* 事業者は、給与の源泉徴収事務を処理する目的で、従業員等に対し、マイナンバーの提供を求めることとなります(番号法第19条第 3号)。一方、従業員等の営業成績等を管理する目的で、マイナンバーの提供を求めてはなりません。
* 同じ系列の会社間等で従業員等の個人情報を共有データベースで保管しているような場合、従業員等が現在就業している会社のファイルにのみそのマイナンバーを登録し、他の会社が当該マイナンバーを参照できないようなシステムを採用していれば、共有データベースにマイナンバーを記録することが可能であると解されます。
* 共有データベースに記録されたマイナンバーを出向者本人の意思に基づく操作により出向先に移動させる方法をとれば、本人が新たに マイナンバーを出向先に提供したものとみなすことができるため、提供制限には違反しないものと解されます。
* 扶養控除等申告書は、7年間の保存義務があることから、当該期間を経過した場合には、当該申告書に記載されたマイナンバーを保管しておく必要はなく、原則として、マイナンバーが記載された扶養控除等申告書をできるだけ速やかに廃棄しなければなりません。

厳重に保管する必要があります。

Q4-4-1 民間事業者がマイナンバー(個人番号)を取り扱うにあたって、注意すべきことはありますか?
A4-4-1 原則としてマイナンバーを法に定められた利用範囲を超えて利用することはできませんし、特定個人情報(マイナンバーをその内容に含む個人情報[Q5-4]参照)をむやみに提供することもできません。また、マイナンバーを取り扱う際は、その漏えい、滅失、毀損を防止するなど、マイナンバーの適切な管理のために必要な措置を講じなければなりません。具体的な措置については、特定個人情報保護委員会からガイドラインが示されていますので、そちらをご覧ください。なお、特定個人情報を不適正に取り扱った場合には、特定個人情報保護委員会から指導・助言や勧告・命令を受ける場合があるほか、正当な理由がないのに、個人の秘密が記録された特定個人情報ファイル(マイナンバーをその内容に含む個人情報ファイル[Q5-4]参照)を提供した場合などには、処罰の対象となります([Q5-8]参照)。(2014年6月回答)
会社の従業員から収集したマイナンバーを、保管する場合は、従業員本人のマイナンバーに限らず、その家族のマイナンバーも取り扱うわけですから、特に厳重な保管が必要になります。

もし、紙などにマイナンバーを記録し、保管する場合であれば施錠された金庫や書庫、特定の人しか解錠できないような保管庫などに保管する必要があります。

また、収集したマイナンバーはいつまでも保管しておいていいわけではなく、必要がなくなった時点で廃棄する必要があるため、マイナンバーを利用する事務処理の種類ごとにファイルを作成して保管するようにしておけば、廃棄処分もスムーズに行うことが可能になりますし、クラウド上に保管しておけば、保管庫代などよりも安く、また安全に取り扱うことができます。このように、マイナンバーは業務によって保管方法を工夫することが必要とされます。

万が一、流出してしまったら?

マイナンバーのデメリットについては、全体では「情報漏洩リスク」が2,634社(構成比53.3%)で過半数を占め最多だった。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
本調査は2015年6月23日~7月7日の期間にインターネットによるアンケートを実施し、有効回答を得た全国4,942社の回答を集計・分析した。なお、資本金1億円以上を大企業、同1億円未満(個人企業、各種団体を含む)を中小企業等と規定した。

多くの事業主が、「情報漏洩リスク」を気にしています。
国はどう考えているのでしょうか?
Q5-4 マイナンバーが漏えいすると、芋づる式に個人情報が漏れるおそれはありませんか。
A5-4 マイナンバー制度では、個人情報がひとつの共通データベースで管理されることは一切ありません。例えば、国税に関する情報は税務署に、児童手当や生活保護に関する情報は各市町村に、年金に関する情報は年金事務所になど、これまでどおり情報は分散して管理します。
 また、役所の間の情報のやりとりは、マイナンバーではなく、システム内でのみ突合可能な、役所ごとに異なるコード(暗号化された符号)で行うので、1か所で漏えいがあっても他の役所との間では遮断されます。仮に1か所で マイナンバーを含む個人情報が漏えいしたとしても、個人情報を芋づる式に 抜き出すことはできない仕組みとなっています。(2015年12月回答)
マイナンバーのみが流出したとしても、そんな簡単には悪用されないようですね。

海外における被害の事例は?

マイナンバー先進国の米国や韓国では、日本と異なり保護規制が厳しくなく、なりすましによる被害が発生しています。
米国では、連邦取引委員会によると、なりすまし被害は2006年~2008年の3年間で1,170万人、損害額が毎年約5兆円と報告されています。
・社会保障番号の不正利用により
・年金および医療給付金などの不正受給
・失業給付金の二重受給
・他人の社会保障番号による銀行口座の開設
といった被害が発生しています。
「なりすまし」での被害が大きいですね。日本でもこういう事態になってしまうのでしょうか。
マイナンバーは、住民票コードを変換した12ケタの番号でしかないため、それ単体では、使い道はほとんどありません。しかし、マイナンバーを含んだ形で個人情報が漏えいした場合は話が違ってきます。
マイナンバーの本来の役割は「名寄せ」です。特定個人の別々の情報を結合し、確実に利用しやすくすることに意味があります。また、第1回でも触れましたが、日本における本人確認では、基本的にマイナンバーの記載書類の確認(番号確認)と写真付き身分証明書などの確認(身元確認)が必要です。マイナンバーカード(個人番号カード)があれば、一枚で番号確認と身元確認が行えます。
マイナンバーが漏えいすると、そのケースによって主に以下の被害が発生する可能性があります。
① マイナンバーが個人情報の不正な名寄せに利用され、個人情報の不正売買が行われてしまう。(結果的に電話、DM、電子メールなどによる不正な本人アクセスが行われる。)
② 他人のマイナンバーを使用したなりすましにより、不正な行政手続きが行われてしまう。
③ 将来、マイナンバーを本人確認に利用する民間事業者とのやり取りが、不正に行われてしまう。(民間利用の詳細は未定)
④ 2017年以降、マイナンバーカード内の認証情報などを用いて、マイナポータルに不正ログインされ、より多くの個人情報が盗難されてしまう。(マイナポータルの詳細は未定)
マイナンバー(個人番号)のみ流出なら、影響は低いですが、個人情報も一緒になると影響が大きくなりますね。
マイナンバー制度導入以前から存在するリスクでもありますが、マイナンバーを悪用したなりすましにより、本人確認をパスできれば、正規の手続きの振りをして、行政手続きが不正に行われる可能性があります。今後、マイナンバーカードが免許証やパスポートなどと同等に身分証明に活用されていくと、マイナンバーそのものよりも、むしろ「マイナンバーカード」が盗用されることの方が、新たなリスクと考えられます。
例えば、マイナンバーカードの顔写真欄に偽の顔写真を貼り付けることにより、マイナンバーカードの信頼性を悪用して、本人になりすました不正な住民票の入手や書き換え、印鑑登録の変更、婚姻届や死亡届などの行政手続きが行われてしまう可能性もあります。もし、偽の顔写真の貼り付けが難しい場合であっても、マイナンバーカードの情報を手掛かりに、本人確認が困難な手続きにおいて、代理人になりすましをされるリスクも考えられます。
また、2017年以降は、マイナポータル(情報提供等記録開示システム)の利用により、一部の行政手続きがインターネット上でできるようになる方向ですが、ログインに必要な認証情報の一部は、マイナンバーカードのICチップ内に格納されているため、認証上のリスクがあります。現時点(2015年7月現在)で詳細は不明ですが、ICカードリーダーやスマートフォンにかざして読み取らせ、認証を行う方式も想定されます。そのため、マイナンバーカードが盗用されると、不正アクセスによりマイナポータル経由で不正な行政手続きが行われ、さらには非常にプライバシー性の高い機微な個人情報にアクセスされる恐れもあります。
個人番号カードが盗まれ、本人のなりすましで悪用されたら、大変です。
企業では多くのマイナンバー情報を管理することになりますが、危惧されるのは情報漏えいや不正利用の問題です。対策を怠り、マイナンバーを含む個人情報(以下、特定個人情報)の情報漏えいが発生した場合、信用の失墜、企業イメージの低下、損害賠償、マイナンバー法(※)による厳しい刑罰が待っています。
流出によって、企業のイメージダウンを損ねてしまうと、回復に時間を要してしまいます。
信用の失墜、企業イメージの低下、損害賠償、マイナンバー法(※)による厳しい刑罰が待って
マイナンバー漏洩による罰則一覧

マイナンバー漏洩による罰則一覧

流出を防ぐために取るべき対策とは?

情報漏えいの原因の8割が、うっかりミスや添付メールの誤送信と言われています。またそれだけではなく、マイナンバーが印刷された書類の持ち出し、リムーバブルストレージによるデータの持ち出し、オンラインストレージへのアップロード、Webメールでの送信などが悪意を持って行われることも考えられ、日常業務の中に情報漏えいのリスクがあふれています。
まずは、社内での周知を徹底して、うっかりミスを防いでいくようにしましょう。
マイナンバー対策はお済みですか? - AssetView

マイナンバー対策はお済みですか? – AssetView

特定個人情報』『特定個人情報ファイル』『マイナンバー』などが、ガイドライン、罰則規定で情報漏洩から守るべき対象として定義されています。
Q5-5 マイナンバーが漏えいする危険がありませんか。その場合、海外のようななりすまし被害が起こる危険がありませんか。
A5-5 マイナンバー制度では、制度・システム両面で様々な安全管理措置を講じています。具体的には、そもそもマイナンバーのみでは手続ができないようにしているほか、情報の分散管理やシステムへのアクセス制御、通信の暗号化などを行います。
 さらに、独立性の高い第三者機関(特定個人情報保護委員会)が監視・監督を行い、故意にマイナンバーを 含む個人情報を提供などすれば、厳しい罰則を適用します。(2015年12月回答)
万が一マイナンバーが漏洩してしまったらどのように対応すればいいのでしょうか。

まず、考えるべきことは二次被害やさらなる漏洩の防止です。「本当に漏洩したのか」という事実関係の把握、「どうして漏洩したのか」という原因究明はもちろんですが、漏洩したマイナンバーの本人など影響を受ける人への連絡も必須。他には特定個人情報保護委員会などへの報告も必要です。そしてできるだけ早く再発防止策を考えて、他の従業員などに安心してもらえるように努めましょう。こういった対応についてもマニュアルを作っておけば、もしもの時に後手に回らずに済みます。

万が一、流出してしまっといえども、慌てずにさらなる被害の拡大を出さないようにしましょう。後手に回らず、事前にマニュアル作りなどで、対策を事前に立てておくのが良いですね。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする