中小企業の皆様！マイナンバー対策は万全ですか？今一度確認しましょう！

新しい脅威が日々発生する状況ではシステム面の他に、社員のセキュリティー意識を高める対策も重要です。

『標的型攻撃メール』とは？　あたかも正当な業務や依頼であるかのような件名や本文で、ウィルス付きの添付ファイルや特定のサイトに誘導するメールを送りつけるなどの攻撃を仕掛ける悪意のあるメールです。

従業者へのマイナンバー法の周知・徹底。

特定個人情報について、責任者および従業員（担当者）への定期的な教育を実施していますか？

特定個人情報の取扱いを行うエリアを間仕切りなどで分けたり、そのエリアへの持込機器の制限ができていますか？

機器や電子媒体等の盗難対策をしていますか？

電子媒体等を持ち出す場合、漏えい防止策をしていますか？

個人情報の削除や電子媒体の廃棄ルールは決まっていますか？

■Step1 人事・給与システムの更新
■Step2 情報セキュリティの整備
■Step3 社会保障関係書類の更新

□Step4 重要書類の管理対策
・特定個人情報等の保管場所に自由に出入りできる危険性！
・キャビネットから誰でも取り出せる危険性！
→罰則の対象になります。

一般的に、マイナンバー対策はシステム側の改修だけで対応は終了と思われておりますが、意外な管理の抜け穴として“特定個人情報を含む書類の管理“が控えています。

マイナンバーを取り扱う機器を特定し、その事務取扱担当者を限定するなどします。また、特定の機器を使用して事務を行なう際、機器のアクセス制御機能を用いて、IDやパスワードを設定するなど、アクセス制限するのが望ましいでしょう。

事務機器をインターネットにつなげている場合は、外部からの不正アクセスや不正ソフトウェアからの侵入を防ぐため、ウィルス対策ソフトウェアを導入し、そのソフトウェアを自動更新するなどして、最新の状態にアップデートしておく他、定期的なウィルスチェックを行なう必要があります。

マイナンバーを取り扱う事務取扱部門(以下、事務取扱部門と略す)を明確にし、事務取扱責任者や事務取扱担当者(以下、個人番号事務実施者と略す)を選定する他、それらの者の役割分担を明確にします。

組織体制の整備については、事務取扱部門や組織的役割を明確にし、その役割内容や責任範囲を取扱規程や職務規程等の内部規程に定めます。

また、業務体制においては、マイナンバーの収集や廃棄等の実施日、個人番号事務実施者を記録するなど、マイナンバーの取扱状況がわかる管理体制を構築し、それらの記録を定期的に確認します。

１．目的外利用の禁止
企業がその事務処理で、個人番号を利用することが出来る範囲について、社会保障、税及び災害対策に関する特定の事務に限定します。

２．提供を求めることの制限
法令により、提供を受けることが認められている場合を除き、他人に対し、個人番号の提供を求めてはならないとされ、企業が従業員から個人番号を求める場合も、対象となる事務かを確認することになります。

３．本人確認の措置
企業が従業員から個人番号の提供を受ける際にも、本人確認（番号確認＋身元確認）をすることが必要です。

４．情報の安全管理措置
企業は、データに関する安全管理措置を講ずることとし、従業員の監督義務及び委託先の監督義務があります。

マイナンバーの利用範囲は、法律に規定された社会保障、税及び災害対策に関する事務に限定されています。 他人のマイナンバーの不正入手や、不当提供、流出等は、処罰の対象になります。

そのため、マイナンバーの管理にあたっては、安全管理措置などが義務付けられます。