セキュリティはこまめに見直す事が重要?中小企業のマイナンバー対策は?

セキュリティには思わぬ落とし穴が潜んでいることが多く、完璧だと思っても見直しは必要になるものです。

始まったばかりの制度のため、漏れるのは必然と言う声も……

人的ミスによる情報漏洩 | 社内セキュリティ事情 (27421)

今年から始まるマイナンバー制度で、国民は固有の番号が割り振られることになる。新たなビジネスチャンスが訪れる一方で「どうやったって番号は漏れる」ともささやかれている。
マインナンバーは始まったばかりの制度のため、すでにどうやっても漏れるのではと考える人もいます。
制度が本格的に始まれば、セキュリティ対策を取らなければならない。だが、個人、法人がそれぞれ何をすべきか周知徹底されていないまま見切り発車している印象だ。
従業員やその扶養家族のマイナンバーを取得し、給与所得の源泉徴収票や社会保険の被保険者資格取得届などに記載して、行政機関などに提出する必要がある。また、証券会社や保険会社が作成する支払調書、原稿料の支払調書などにもマイナンバーを記載しなければならない。
マイナンバーが漏えいするパターンは幾つか考えられる。

 一つ目は、そもそも企業がセキュリティシステムを自前で用意できない場合だ。新たな設備投資が発生するため、費用を負担できないような中小零細企業は表計算ソフトなどで管理するしかない。そうなれば、セキュリティは甘くなり、パスワードを設定していたとしても破られる可能性がある。

すでにマイナンバー導入を行っている国では悪用例も……

すでにマイナンバー制度のような社会保障番号制度を運用している国々では、社内外の不正行為による個人情報の漏えいや改ざん、社会保障番号そのものの悪用事件が多発しています。制度の開始を控えた日本企業にとって、もはや他人事ではありません。
不正利用やマイナンバー漏洩には罰則もあります。
個人番号の不正利用などがあった場合、下記のような法定刑があります。

1. 正当な理由なく特定個人情報ファイルを提供した場合
4年以下の懲役か200万円以下の罰金又はこれらの併科

2. 不正利益目的で個人番号を提供・盗用・漏えいした場合
3年以下の懲役か150万円以下の罰金又はこれらの併科

3. 人をあざむく、暴行、施設への侵入など不正行為で個人番号を取得した場合
3年以下の懲役又は150万円以下の罰金

4. 偽りなどの不正手段により個人番号カードを取得した場合
6ヶ月以下の懲役又は50万円以下の罰金

では、どのようなセキュリティをしていくのか? その基本は?

以前から、マイナンバーと同じレベルの重要な個人情報を取り扱っている企業も多いかと思いますが、今回、そこに個人番号(マイナンバー)が追加となり、より一層その取り扱いが注目されてきています。

あるデータによると、情報漏えいの8割以上が内部からの流出だそうです。情報漏えいが起こると、事後対応は当然のこと、企業イメージのダウンにつながるため、今回のマイナンバー制度の開始を機に個人情報の取り扱いを見直す必要があります。

マイナンバー制度が始まると、企業は税金や社会保険の手続きにおいて、従業員などからマイナンバーを本人確認を行った上で収集し、書類などに記載しなければなりません。マイナンバーの収集対象者は、役員、パート、アルバイトを含む従業員だけではありません。その扶養家族、さらには、講師の謝礼や原稿料、不動産使用料、配当などの支払い先なども含まれます。 また、法律で定められた目的以外には利用できないため、その収集から保管・利用・破棄に至るまで、個人情報保護法以上に厳格な管理が義務づけられます。
マイナンバー制度に伴うセキュリティの見直し - 特定個人情報の漏えい対策 | トレンドマイクロ (27396)

委託も含めた検討が重要になるケースも多くあります。
特定個人情報(個人番号を含む個人情報)の取り扱いに当たって、セキュリティ対策が必要ですが、その前に最低限決めておくべき3つの項目があります。

1. 事務に必要な特定個人情報を明確にする
会社として、どの業務(給与の源泉徴収事務、健康保険・厚生年金保険の届出事務など)に対し特定個人情報を使用するのか明確にします。

2. 取扱担当者の決定
特定個人情報等の取扱担当者を決定し、担当者には特定個人情報等の取扱いを周知徹底・定期的な研修などの適切な教育を行います。

3. 基本方針の策定・取扱い規定等の策定
会社として特定個人情報等の取り扱いに関する方針や範囲を明確にした方針書を策定し、実際の取扱い方法についても取扱い規定を定めておきます

基本中の基本を見直さないと、見落としが生まれる可能性も有るため注意が必要です。
1. マイナンバーへのアクセスログの保存・検証
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、USBなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

2. アクセス制御
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。

3. ファイアウォール等を設置
外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。

4. 各PCのウイルス対策・アップデート
各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。

5. パソコンの外部持ち出しにも注意
特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。

6. 情報の取り扱う区域を決めて隔離する
オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。
またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。

最低限これらの措置は必要であり、それが出来て初めて経営が成り立つのです。
クラウド型経費管理システムの安全性とセキュリティ - Concur日本 (27423)

様々なマイナンバー漏洩防止セキュリティが誕生している

それでも、どこから漏れるかがわからないのが情報であり、マイナンバーです。さらに厳重に情報を守るための新しいソリューションも生まれ続けています。
「FinalCode」は委託先など社外に渡す重要なファイルを暗号化し、「渡した相手から情報が漏れてしまう」間接的な情報漏洩を防ぐセキュリティ対策ソリューションです。

マイナンバーのセキュリティ対策では、委託先にも自社と同等の安全管理措置を担保する管理・監督義務があるため、従来は一般的でなかった“社外からの”情報漏洩対策がポイントの1つになり、「FinalCode」が有効なソリューションとなります。

一方で、セキュリティやデータを委託した場合はこんな問題も

そもそも人事・給与・経理の業務を外部にアウトソースしている事業者は少なくないが、マイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)でも、マイナンバー管理を外部の専門業者やクラウドベンダーに委託することは認められている。ただし、同法上、委託先のマイナンバー管理についても委託元の事業者が監督責任を負わなければならない。同様に、クラウドサービスを使ってマイナンバーの管理を行う際も、そのセキュリティを、利用者サイドが責任を持ってコントロールしていく必要がある。
賢明な経営者の皆さん!売上を上げるのも大事ですが、今の時代はコレを知る方がモット大事です。 | おのぶろぐ/店舗マネジャー・店長・スタッフを2万人以上教育した教育屋のブログ (27425)

セッキュリティを見直すのは自社だけでなく、契約内容や、委託先にも問題がないか確認することが必須になっているのです。
マイナンバー取扱事務を委託する際は、委託先が重要な情報であるマイナンバーを取扱う事務を任せるにふさわしい相手であるかどうかについて「必要かつ適切な監督」をすることが求められています。
ガイドラインによるとこの「必要かつ適切な監督」には、具体的に、以下の内容が含まれていると説明されています。
委託先の適切な選定
安全管理措置に関する委託契約の締結
委託先における特定個人情報の取扱い状況の把握
昔から付き合いがある、信頼できるでは問題がある場合があります。委託を行い場合は契約内容と、マイナンバーの扱いについて確認する義務もあるのです。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする