【中小企業がやるべきマイナンバーセキュリティー対策】

企業に務める従業員のために役所へ届け出ている書類（厚生年金、雇用保険、源泉徴収）などに、従業員のマイナンバーを記載する必要がある。つまり、業種・業態に関わらず従業員がいて社会保険に加入している限り、全従業員のマイナンバーを会社が管理しなければならないのだ。

なお、マイナンバーは個人情報とは異なる「特定個人情報」にあたり、万が一情報漏えいが起きた場合「マイナンバー法」による重い罰則が会社に適用される場合があり、その管理方法は「特定個人情報保護委員会」によりガイドラインが制定されており、基本的にこのガイドラインに則った管理を行う必要がある。

企業で影響をうける業務は？
「給与・報酬の支払い」や「個人情報管理」

マイナンバー制度は、社会保障と税の分野を軸に導入されますが、企業では主に「給与・報酬の支払い」や「個人情報管理」の面において、業務上の影響が大きいとされます。
ウイルス感染の予防、マイナンバーデータへのアクセス制限やログ取得等を行うと共に、データを取り扱う経理、総務関係への情報リテラシー教育も重要です。

企業では多くのマイナンバー情報を管理することになりますが、危惧されるのは情報漏えいや不正利用の問題です。対策を怠り、マイナンバーを含む個人情報（以下、特定個人情報）の情報漏えいが発生した場合、信用の失墜、企業イメージの低下、損害賠償、マイナンバー法（※）による厳しい刑罰が待っています。

◆「外部からの攻撃リスク」と「内部からの情報漏えいリスク」

マイナンバーは将来的に利用範囲も拡大し、より個人のさまざまな情報と結びつくため、狙われる危険性が高まります。また情報漏えいによる影響や被害も大きくなることが想定されます。それゆえ、企業はマイナンバーの管理にあたり、さまざまなリスクが伴うことを認識しなくてはなりません。悪意ある「外部からの攻撃リスク」に加え、「内部からの情報漏えいリスク」にも目を向ける必要があります。

1.マイナンバーの取得
・取得の際にはあらかじめ利用目的を特定して通知又は公表することが必要
・なりすまし防止のためにマイナンバーの確認と身元の確認を厳格に行う

2.マイナンバーの利用と提供
・社員番号や顧客管理番号としての利用は対象者の同意があってもできない
・法律で認められた税と社会保障の手続以外の目的での利用は禁止

3.マイナンバーの保管と破棄
・雇用契約などの継続的な関係があるといった場合だけ保管が認められる
・必要がなくなったら復元できない状態で廃棄又は削除しなければいけない

4.マイナンバーの安全管理措置
・紙などで帳簿等を管理している場合は鍵付きの棚や引き出しに保管
・データで管理する場合は、盗難や漏洩の防止対策を講じる
・特定個人情報の保護に関する基本理念を明確にする
・取扱う場合のマニュアルや業務フローなどの手順を示した文書を作成
・扱う事務の範囲を明確にして事務取扱担当者を特定する

では、マイナンバー情報が流出した場合、どのような影響が考えられるのだろうか？

「マイナンバーに高い財産価値があるかというと、当面、税、社会保障、災害対策の3分野に限られて適用されるため、制度施行時は番号自体をねらった不正アクセスは少ないかもしれません。しかし、制度開始後に戸籍謄本や個人銀行口座、年金記録、医療情報などに適用範囲が拡大されることが検討されています。番号制度をすでに実施している諸外国の例を見ても、医療や市民生活に関わる広い範囲で適用されており、その番号流出をねらった不正アクセスも多く、利用範囲が広がるにつれ将来的にはマイナンバー自体を狙った不正アクセスが増えると思われます」

マイナンバーや関連データを取り扱う経理や総務関係者のリテラシーを高める教育と共に、サイバー攻撃に備えてウイルス感染の予防策と感染後の二次対策が必要になってきます。

また、マイナンバーが格納されたシステムへのアクセス制限やアクセスログ取得を行うことも必要です。
下記4点はとくに企業が講じるべき安全管理措置です。

○ アクセス制御
情報システムを使用して個人番号関係事務や個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。

○アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。

○外部からの不正アクセス等の防止
外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを情報システムに導入し、適切に運用する。

○情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。