マイナンバーのシステム対応は、行政機関のシステム、企業の業務システム、情報セキュリティについて述べます。行政機関のシステムでは、個人番号、法人番号の発番やマイナンバーの市区町村と各機関との情報連携方法について述べます。企業の業務システムでは、マイナンバーの収集から、マイナンバーの管理・保管、マイナンバーの行政への提供、マイナンバーの廃棄について述べます。情報セキュリティでは、物理的安全管理措置、技術的安全管理措置について述べます。
行政機関のシステム
◆個人番号カードの記載事項
個人番号カードには、氏名、住所、生年月日、性別、個人番号、本人の写真が掲載されます。ICチップには、マイナンバーと住民基本台帳に記載されている住民票コードの情報も掲載されます。個人番号カードには、有効期限が設定されており、20歳以上の人は発行日からみて10回目の誕生日まで、20歳未満は発行日から見て5回目の誕生日迄になります。
◆個人番号・法人番号の発番システム
マイナンバーの個人番号は、住民基本台帳の住民票コードをもとに、「地方公共団体情報システム機構」の「個人番号付番システム」によりマイナンバーに変換されます。変換されたマイナンバーは市区町村に返送され、国民にマイナンバーが記載された通知カードが発行されます。個人番号でマイポータルにログインすると、利用状況の確認や個人に応じた行政情報が配信されます。
マイナンバーの法人番号は、国税庁により発番され法人に通知されます。法人は、各種届出の添付書類に、マイナンバー(法人番号)を記載することになります。また、個人、法人ともに第三者のチェック機関として特定個人情報保護委員会が関わることになります。
◆マイナンバーの市区町村と各機関(国税庁、日本年金機構等)との情報連携方法
個人情報の管理は、今まで各機関で管理していた情報は、引き続き当該機関で管理します。必要な情報を必要なときだけ、マイナンバーを情報連携し取り出す仕組みになっています。例えば、国税に関する情報は税務署で、児童手当や生活保護に関する情報は市役所で、年金に関する情報は年金事務所で管理されます。また、役所間で情報をやりとりする場合には、マイナンバーではなく、役所毎に異なるコードを用います。このことは、情報漏洩防止につながります。
企業の業務システム
◆企業でのマイナンバーの情報収集
企業では、関係書類に付記するために、まず、個人に配布されたマイナンバーを社員から情報収集します。企業で個人に配布されたマイナンバーを社員から情報収集するときには、番号確認の時、身元確認が必須になります。
◆企業でのマイナンバーの保管・管理
収集されたマイナンバーは、個人情報が漏洩しないように厳重に保管する必要があります。企業でマイナンバーの入った資料を取り扱う人は、他の人から隔離した場所で作業するなどの配慮が必要なります。関係資料に出力されるマイナンバーは、必要に応じてマスキングなどの処理が必要になる場合があります。
◆企業でのマイナンバーの行政対応
行政への提出する源泉徴収票、支払調書などに記載する必要があります。
◆企業でのマイナンバー廃棄
社員が退職した場合は、マイナンバーの入った保管資料、コンピュータ情報はすべて廃棄することが必要になります。
◆企業でのマイナンバー業務の確立
企業は、マイナンバーを取り扱うに当たって、あらかじめ国で定められたガイドラインにしたがって、業務フロ、業務マニュアルの整備を行う必要があります。
◆企業は、従業員の給与にかかわる源泉徴収票と給与支払報告書を税務署と従業員住所地の市区町村にそれぞれ仕分けた上で郵送しています。源泉徴収票と給与支払報告書は、ほぼ同じ内容であることから、一種類の様式をエルタックス(地方税ポータル)に送信すれば、番号を使用して必要な提出先へ自動的に振り分けて提出することで、企業の事務負担を軽減することが出来ます。
情報セキュリティのシステム
◆特定個人情報の認識範囲
個人番号が一定の法則に従って変換されたものも個人番号に当たります。個人番号を暗号化などしても個人番号に該当します。
個人番号を使い既存DBの給与情報などにアクセスできる状態である場合は、画面に個人番号を表示しなくても、既存DB全体がマイナンバーに紐付く「特定個人情報」に該当します。
また、システム管理者であっても、特定個人情報ファイルの内容を知らなくてもよいのであれば、特定個人情報ファイルへ直接アクセスできないようにアクセス制御を行います。
◆物理的安全管理措置
特定個人情報を取り扱う区域を明確にし、関係社以外の人が侵入することにより、情報漏洩することがないようにします。
特定個人情報が関係する機器・電子媒体・書類は、施錠のかかるキャビネットに保管します。
電子媒体を持ち出す場合の情報漏洩対策として、持ち出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用などで対応します。
退職などに伴う特定個人情報の削除、廃棄は、故意にまたは、間違って復元されない方法で行います。
◆技術的安全管理措置
マイナンバーをアクセスできる担当者についてアクセス制御を行います。
外部からの不正アクセスを防止します。外部ネットワークの接続箇所にファイアーウォールを設置します。セキュリティ対策ソフトウェアを導入します。定期的にログ分析を行い不正を検知します。
外部に送信する場合、情報経路について暗号化を行います。情報システム内では、データ暗号化やパスワードの保護を行います。