【中小企業】罰則あり！マイナンバー対策は万全に。

マイナンバーを取り扱う際の教育や社内情報共有の仕組みに関して、「社内教育」、「全従業員向けの社内トレーニング」、「マイナンバー取り扱い状況把握のための体制」の整備・計画について、対応済みまたは着手中と答えた回答者は、いずれも全体の20%以下にとどまっています。企業の規模が小さくなるほどこの割合は低くなっていますが、従業員5,000人以上の大規模企業でも、その割合はわずか30%前後にとどまっています。

1. マイナンバーへのアクセスログの保存・検証

アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、ＵＳＢなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。
2. アクセス制御

特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。
3. ファイアウォール等を設置

外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。
4. 各PCのウイルス対策・アップデート

各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。
5. パソコンの外部持ち出しにも注意

特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。
6. 情報の取り扱う区域を決めて隔離する

オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。
またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。

「自社でシステムを構築する場合、既存システムに手を加えたり、テストを行ったりする必要がありますが、アウトソーシングすることで現在の業務やシステムへの影響を回避できます」

マイナンバー制度では、社会保障及び税に関する手続書類の作成事務の全部又は一部の委託をする者は、業務の委託先において、委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならないとされています。

委託者は、業務の委託先を適切に監督するための必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性があります。

一概に言えませんが委託するシステム会社、社労士事務所（法人）、税理士事務所（法人）が下記のようなものを保持しているか等をチェックすることが1つの手段といえます。

① Ｐマーク

②個人情報保護規定

③ 安全管理規定

④ マネジメントシステム運用手順書

⑤ 個人情報一覧

⑥ リスク分析表