セキュリティ対策、できてますか？【マイナンバー対策】

1. 事務に必要な特定個人情報を明確にする

会社として、どの業務（給与の源泉徴収事務、健康保険・厚生年金保険の届出事務など）に対し特定個人情報を使用するのか明確にします。

2. 取扱担当者の決定

特定個人情報等の取扱担当者を決定し、担当者には特定個人情報等の取扱いを周知徹底・定期的な研修などの適切な教育を行います。

3. 基本方針の策定・取扱い規定等の策定

会社として特定個人情報等の取り扱いに関する方針や範囲を明確にした方針書を策定し、実際の取扱い方法についても取扱い規定を定めておきます。

その中で、
例えば、次の場合にはどういった方法で行うかを明確にしておく必要があります。
・従業員から提出された書類の回収方法
・印刷やコピーの禁止などのルール設定

・源泉徴収票等の控えで保存期間を過ぎたものの廃棄の方法
・紙媒体での保存であれば、鍵付きの金庫へ保管し、貸し出しや返却の記録の方法

1. マイナンバーへのアクセスログの保存・検証

アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、ＵＳＢなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

2. アクセス制御

特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。

3. ファイアウォール等を設置

外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。

4. 各PCのウイルス対策・アップデート

各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。

5. パソコンの外部持ち出しにも注意

特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。

6. 情報の取り扱う区域を決めて隔離する

オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。
またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。

「安全管理措置には、外部からの不正アクセス、または不正ソフトウエアから情報システムを保護する仕組みを導入することが求められています。

「安全管理措置」 – 技術的措置

(「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より)

a. アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行 う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイル の範囲を限定するために、適切なアクセス制御を行う。

b. アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当な アクセス権を有する者であることを、識別した結果に基づき認証する。

c. 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保 護する仕組みを導入し、適切に運用する。

d. 情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信 経路における情報漏えい等を防止するための措置を講ずる。

マイナンバーには重要な個人情報が紐づくことから、
漏えい時には個人情報保護法以上に厳しい罰則が科される可能性があります。
また、規模の大小問わず全ての企業、個人事業主に適用されます。