中小企業にとって、マイナンバー管理のシステム構築は重い負担になっています。今からでも間に合う管理方法として、外部に委託すると方法を選択してはいかがでしょうか。低コストで安全な運用が出来ると今注目されています。
マイナンバーを管理する中小企業の負担
いよいよ導入されるマイナンバー制度ですが、中小企業ではまだまだ対策が遅れているようです。
9月1日の日本経済新聞朝刊に、マイナンバー関連記事として「中小の7割、対策未着手」という見出しの記事が掲載されました。
帝国データバンクが、企業約1万社を対象にしたマイナンバー制度に関する意識調査を発表。6割は「まだ何もしていない」、負担額は平均109万円。新たなコスト負担の懸念、効果を不安視する声が浮き彫りになった。
マイナンバーの管理を委託する
マイナンバー法では、マイナンバーの管理、その他それに関する業務を外部に委託することが認められています。
マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。また、委託を受けた者は、委託を行った者の許諾を受けた場合に限り、その業務の全部又は一部を再委託することができます。
委託や再委託を行った場合は、個人情報の安全管理が図られるように、委託や再委託を受けた者に対する必要かつ適切な監督を行わなければなりません。委託や再委託を受けた者には、委託を行った者と同様にマイナンバーを適切に取り扱う義務が生じます。
給与などのシステムを外部に委託している企業は多くあります。
それと同じようにアウトソースすることによって、企業は費用と時間を節約して業務を行うことができるのです。
それと同じようにアウトソースすることによって、企業は費用と時間を節約して業務を行うことができるのです。
どのような業者に委託するのか
マイナンバー取扱事務を委託する際は、委託先が重要な情報であるマイナンバーを取扱う事務を任せるにふさわしい相手であるかどうかについて「必要かつ適切な監督」をすることが求められています。
まず、委託先が信用に足る相手であることが、マイナンバー取扱事務を委託するにあたって重要であることは、説明するまでもありません。
適切な選定をしたと言えるためには、委託先において、番号法に基づいて、委託者が行うのと同じだけの安全管理措置が講じられているかどうか、あらかじめ確認しなくてはいけません。
実際に確認すべき事項は、以下の点についてです。委託先の設備
建物への入退室管理・盗難防止
サーバー等機器の保護設備
技術水準
適切なID・パスワード管理
最新のウイルスソフトのインストール
サポートの終了したOS(WindowsXP等)の不使用
データへのアクセス制御
従事者に対する監督・教育
従業者に対する番号法についての研修の実施
社内規定の整備・周知・徹底
委託先の経営環境
委託先の経営状況・環境の把握
via www.photo-ac.com
クラウドを利用した管理方法
会社の個人レベルのセキュリティは、悪意の侵入を阻止するのに十分なレベルとは言えません。
マイナンバーに対応するソフトを導入しても、外部からの侵入があった場合は情報が漏洩してしまうリスクがあります。
マイナンバーに対応するソフトを導入しても、外部からの侵入があった場合は情報が漏洩してしまうリスクがあります。
特定個人情報の管理は、社内で実施すると非常に多くの手間がかかり、刑罰リスクも高いため、クラウドベンダーや専門家に委託をすることも可能です。
プロのセキュリティ、暗号システムを利用して管理する中小企業が増えています。
委託事業者の選定チェックシート
第三者認証(客観的評価)プライバシーマークの取得をしている
ISMS(情報セキュリティマネジメントシステム)の認定を受けている
その他の第三者認証を受けている(具体的に記載)規約・契約など
プライバシーポリシーなどに特定個人情報保護に関する記載がある
特定個人情報の管理方法についての記載がある
特定個人情報を目的外利用しない旨を明文化している
解約時に特定個人情報を完全に消去することを保証している
特定個人情報に特化した損害賠償責任などに関する記載がある情報セキュリティ
情報システムに常に最新の不正侵入防止措置が施されている
全ての通信経路(内部通信も含め)が暗号化されている
特定個人情報の法定保存期間後に削除される機能を有している
特定個人情報に関するデータはディスク自体を暗号化している
事前に決められた担当者以外から特定個人情報にアクセスできない
特定個人情報データのアクセス手順と管理方法などが決められている
関連データベースのアクセスログを管理・保存している
これから、様々なITサービスがマイナンバーに対応していくことが予想されますが、契約内容や実際のアクセス制御がどうなっているか、提供業者に確認しておくことが重要です。