中小企業がうっかりやってしまいそうな、ダメなマイナンバー管理

マイナンバー制度の意味をあまり理解しないままマイナンバー管理をはじめると、こんなダメな管理をやってしまうかも?という色々ケースを紹介します。

USBメモリーで管理したらこうなるかも?

まさかと思いましたが、真剣に検討されていました。一応それを金庫に保管するそうです。言い分としては「パソコンに入れているとウィルス等が心配だ」ということでした。

確かに、単純に担当者のネットワークにつながっているPCに入れておくのは危険ですが、かといってUSBメモリーでは、ネットワークの危険以上に、物理的なセキュリティー面でとっても危険だと思います。

USBメモリーに入れて金庫に保管するというのは、やはり物理的なセキュリティを考える必要が出てきます。当然外部からの侵入もそうですが、ちょっと言いずらいですが社内のからの盗難についても注意が必要です。

これ、本当にあった話みたいですよ。

上記のように、メモリーごと盗まれる可能性のほうが高いと思われますし、メモリー自体が壊れることもあるので絶対お勧めできない管理方法です。

(11719)

via girlschannel.net

人事部担当者のPCで管理するのはダメ?

伊藤 早速ですが、今回の記事タイトルは企業で最もマイナンバーを利用すると思われる人事担当の方が見たら衝撃を受けるかもしれません。

三輪氏 そうですね。衝撃的ですよね。

 私もマイナンバーに関して、自治体や民間企業からセミナー講師の依頼を多く受けますが、とくに人事部、人事担当の方が参加されるセミナーでは必ずこの話をしています。

 「人事部の皆さんのPCは、危険がたくさん潜んでいますよ」とね。

伊藤 人事担当者のPCがなぜ危険なのでしょう。具体的にはどのようなことが挙げられますか?

三輪氏 人事担当者は採用活動も行うので、もともと添付ファイルを開く文化があります。
しかも、就職希望者からのメールなので、無条件に添付された履歴書ファイルなどを開いてしまいます。
ウイルス対策ソフトを導入していれば、ウイルスが検知できるので問題ない、と考えている方も多いのですが、マルウェアと言われる最近のウイルスは、残念ながらウイルスワクチンで検知されることはほとんどありません。

伊藤 しかし、攻撃者の立場からすると、顧客情報や開発中の機密データといったビジネスにおける情報を狙うのではないでしょうか。それを取り扱わない人事担当者のPCを狙う理由はどこにあるのでしょうか。

三輪氏 人事部のPCから社内情報にアクセスすると、各従業員の個人情報や配属、役職などが分かる従業員台帳から、給与データまで情報を取得することができてしまいます。
また、人事部のメールアドレスは公開されている場合も多いです。まず、狙いやすいというのが危険な理由の1つでしょう。

伊藤 狙いは従業員情報ということでしょうか。

三輪氏 従業員情報もそうですが、やはり顧客情報が狙いと考えられます。
例えば、攻撃者が取得した情報を使って人事担当者になりすましてメールを送れば、受けとった従業員はおそらく何も疑わずにメールに添付されたファイルを開くのではないでしょうか。
こうしてマルウェアに感染させた従業員のPCから顧客情報を取得することが可能だと思います。

人事部のPCですから、社内のネットワークに繋がっていないわけがありません。

従業員のPCからの情報漏れに広がる可能性があるということですね。

(11747)

via business-icon.com

管理を委託先に丸投げするのはよくない!

自社で必要な監督等を行えば、委託先にマイナンバーを取り扱わせることは可能だ。ただしその際には、委託先に何を委託するのか、委託業務をまず明確化しよう。そして委託業務に必要な範囲のマイナンバー情報しか取り扱わせないようにしよう。

 例えば、税務手続きで利用する法定調書の印刷を委託するのであれば、そのために必要な範囲のマイナンバー情報とは、法定調書対象者の法定調書対象情報(マイナンバーを含む)である。ダメな例は、マイナンバーの一切の管理を委託するなどとして、すべてを委託先に丸投げすることである。

委託先に、適切な監督が必要!

外部に任せてあるから安心!というわけにはいかず、マイナンバー情報及びマイナンバー関係書類を外部に委託している場合には、委託元の企業は、委託先に対して、適切かつ必要な監督が必要だとされています!

「必要かつ適切な監督」とは?

必要かつ適切な監督とは、

委託先を適切に選定する
委託先に安全管理措置を順守するために、必要な契約を締結すること
委託先の特定個人情報の取扱状況を把握する
とされています。

これらをしないで、万が一委託先が情報漏えいなどの事故をしてしまったら、委託元企業も責任を問われることになるのです!

委託先がダメダメな場合、委託元まで責任を取らされるって大変なことですね。

委託先の設備や技術水準などの事前チェックも大切です。

(11754)

via www.megasoft.co.jp

自社サーバー管理のメリット&デメリット

『自社サーバ』とは自社内で構築(設置)したWebサーバのこと。自由度という点においてはこの形態が最も高い。サーバは独占状態にあり、サーバの機種選択やメールアカウントの発行など、すべての管理が行なえる。そのほかにも自社サーバを構築するメリットは多数あるが、デメリット(管理責任・維持管理費用・人材確保など)も多い。

近年は、サーバ機の価格の低下、難解な操作の軽減もあり、資金力や技術力に不安を持つ中小企業もサーバ導入を進めているのが現状である

人事部PCが、社内ネットワークと繋がっていないわけがありませんからね。

「従業員PC経由で情報が盗まれる可能性がある」ということがよくわかります。

今までのやり方の中では、かなりメリットが多いように思えますが、アクセス可能のパソコンがウィルスなどのサイバー攻撃を受けた時は危険です。

ウィルスに犯されてると、サーバーまで侵入される可能性が大きいからです。

ウィルス対策ソフトをいれたとしても、100%の安全は保障されないのが現状とのこと。

(11743)

via free-designer.net

マイナンバー管理については、一度政府サイトでもチェックしておきましょう!

安全管理措置は、事業者の規模及び特定個人情報等を取り扱う事務の特性等により、適切な手法を採用してください。
中小規模事業者における対応方法
A 基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むた
めに、基本方針を策定することが重要である。
 基本方針の策定は義務ではありませんが、作ってあれば従業員の教 育に役立ちます。

B 取扱規程等の策定
○ 特定個人情報等の取扱い等を明確化する。
○ 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任
ある立場の者が確認する。
 業務マニュアル、業務フロー図、チェックリスト等に、マイナン バーの取扱いを加えることも考えられます。

C 組織的安全管理措置 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければならない。

a 組織体制の整備
○ 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分
することが望ましい。
 けん制効果が期待できる方法です。
b 取扱規程等に基づく運用
c 取扱状況を確認する手段の整備
○ 特定個人情報等の取扱状況の分かる記録を保存する。
 例えば、次のような方法が考えられます。 ・業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の
作成日、本人への交付日、税務署への提出日等の、特定個人情報等
の取扱い状況等を記録する。
・取扱規程、事務リスト等に基づくチェックリストを利用して事務を
行い、その記入済みのチェックリストを保存する。
d 情報漏えい等事案に対応する体制の整備
○ 情報漏えい等の事案の発生等に備え、従業者から責任ある立場の
者に対する報告連絡体制等をあらかじめ確認しておく。
 業務遂行の基本、「ほうれんそう」(報告・連絡・相談)を確認し ましょう。
e 取扱状況の把握及び安全管理措置の見直し
○ 責任ある立場の者が、特定個人情報等の取扱状況について、定期
的に点検を行う。

これでも一部抜粋です。

さらに理解を深めたければ、政府サイトにアクセスしてください。

(11759)

via www.city.yoshikawa.saitama.jp