マイナンバー管理を自社サーバーで！新規システム構築に最適なサーバーはどれ？

マイナンバーは、2015年10月から全ての対象者に通知され、中堅・中小企業においても2016年1月までに、給与システムや経理システム等、既存データとマイナンバーの紐づけなどシステムの改修が必要になります。

また、マイナンバーを含む個人情報は、「特定個人情報」として従来の個人情報以上に企業での厳格な取扱い義務が課せられます。中堅･中小企業がこれらの「特定個人情報」の取り扱いに対応するため、今お持ちのシステムへのセキュリティ対応（情報漏えい対策）が急務となっています。

年末調整などは2017年1月からの義務化ですが、2017年1月に提出する源泉徴収票などは、2016年1月～12月までの給与計算、賃金台帳、源泉徴収簿から算出しますので、実質2016年1月にはマイナンバー対応版の給与計算システムを導入する必要があります。

b 機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子 媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理 措置を講ずる。
54
≪手法の例示≫
* 特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビ ネット・書庫等に保管する。
* 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている 場合は、セキュリティワイヤー等により固定すること等が考えられる。

前述の措置により、マイナンバーをはじめとする特定個人情報等を扱う機器、電子媒体及び書類等は、管理区域か取扱区域内に存在することとなります。
そして更に、それらの機器、電子媒体及び書類等の盗難や紛失、損壊の可能性を物理的に防止するための措置を講じる必要があります。

外部からのウイルス侵入を防ぐなど、情報システムの防衛策は、現代においては非常に重要です。
そこで、番号法及びそのガイドラインでは、情報システムに対する外部からの不正アクセスや不正ソフトウェアによる侵害から保護する仕組みを導入し、適切に運用する必要があると規定しています。

≪手法の例示≫
* 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設 置し、不正アクセスを遮断する。
* 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソ フトウェア等)を導入する。
* 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不 正ソフトウェアの有無を確認する。
* 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、 ソフトウェア等を最新状態とする。
* ログ等の分析を定期的に行い、不正アクセス等を検知する。

マイナンバーをはじめとする特定個人情報等をインターネットに等により外部に送信する場合は、通信経路における情報漏えい等を防止する必要があります。

≪手法の例示≫
* 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考 えられる。
* 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策と しては、データの暗号化又はパスワードによる保護等が考えられる。

「マイナンバーへのシステム対応に関してはさまざまな考え方があり、現在は、それぞれの企業が手探りで試行錯誤しているといった状況だと思います。ポイントの一つは、マイナンバー管理の仕組みを“既存システムからいかに切り離すか”になるでしょう。当社が実際に手掛けた案件で増えてきているのは、マイナンバー専用のシステムを新規構築し、既存システムとは別のシステムとして管理する方法です。既存システムとは物理的に異なるシステムとなるため、プライバシーや情報保護のためのセキュリティ対策も行いやすく、システム管理も容易になるというメリットがあります」（及川氏）

セキュリティ機能や管理機能については、マイナンバーのガイドラインで示されている「物理的安全管理措置」や「技術的安全管理措置」を満たせるかどうかがポイントになる。及川氏によると、これらのうち、特に以下の4つを実施できるかどうかが重要になるという（図1）。

（1）外部からの侵入を検知・防止

（2）記録媒体でのデータ持ち出し防止

（3）アクセスを監視

（4）データの暗号化