セキュリティはこまめに見直す事が重要？中小企業のマイナンバー対策は？

今年から始まるマイナンバー制度で、国民は固有の番号が割り振られることになる。新たなビジネスチャンスが訪れる一方で「どうやったって番号は漏れる」ともささやかれている。

制度が本格的に始まれば、セキュリティ対策を取らなければならない。だが、個人、法人がそれぞれ何をすべきか周知徹底されていないまま見切り発車している印象だ。

従業員やその扶養家族のマイナンバーを取得し、給与所得の源泉徴収票や社会保険の被保険者資格取得届などに記載して、行政機関などに提出する必要がある。また、証券会社や保険会社が作成する支払調書、原稿料の支払調書などにもマイナンバーを記載しなければならない。

マイナンバーが漏えいするパターンは幾つか考えられる。

 一つ目は、そもそも企業がセキュリティシステムを自前で用意できない場合だ。新たな設備投資が発生するため、費用を負担できないような中小零細企業は表計算ソフトなどで管理するしかない。そうなれば、セキュリティは甘くなり、パスワードを設定していたとしても破られる可能性がある。

すでにマイナンバー制度のような社会保障番号制度を運用している国々では、社内外の不正行為による個人情報の漏えいや改ざん、社会保障番号そのものの悪用事件が多発しています。制度の開始を控えた日本企業にとって、もはや他人事ではありません。

個人番号の不正利用などがあった場合、下記のような法定刑があります。

1. 正当な理由なく特定個人情報ファイルを提供した場合
4年以下の懲役か200万円以下の罰金又はこれらの併科

2. 不正利益目的で個人番号を提供・盗用・漏えいした場合
3年以下の懲役か150万円以下の罰金又はこれらの併科

3. 人をあざむく、暴行、施設への侵入など不正行為で個人番号を取得した場合
3年以下の懲役又は150万円以下の罰金

4. 偽りなどの不正手段により個人番号カードを取得した場合
6ヶ月以下の懲役又は50万円以下の罰金

以前から、マイナンバーと同じレベルの重要な個人情報を取り扱っている企業も多いかと思いますが、今回、そこに個人番号（マイナンバー）が追加となり、より一層その取り扱いが注目されてきています。

あるデータによると、情報漏えいの8割以上が内部からの流出だそうです。情報漏えいが起こると、事後対応は当然のこと、企業イメージのダウンにつながるため、今回のマイナンバー制度の開始を機に個人情報の取り扱いを見直す必要があります。

マイナンバー制度が始まると、企業は税金や社会保険の手続きにおいて、従業員などからマイナンバーを本人確認を行った上で収集し、書類などに記載しなければなりません。マイナンバーの収集対象者は、役員、パート、アルバイトを含む従業員だけではありません。その扶養家族、さらには、講師の謝礼や原稿料、不動産使用料、配当などの支払い先なども含まれます。 また、法律で定められた目的以外には利用できないため、その収集から保管・利用・破棄に至るまで、個人情報保護法以上に厳格な管理が義務づけられます。

特定個人情報（個人番号を含む個人情報）の取り扱いに当たって、セキュリティ対策が必要ですが、その前に最低限決めておくべき3つの項目があります。

1. 事務に必要な特定個人情報を明確にする
会社として、どの業務（給与の源泉徴収事務、健康保険・厚生年金保険の届出事務など）に対し特定個人情報を使用するのか明確にします。

2. 取扱担当者の決定
特定個人情報等の取扱担当者を決定し、担当者には特定個人情報等の取扱いを周知徹底・定期的な研修などの適切な教育を行います。

3. 基本方針の策定・取扱い規定等の策定
会社として特定個人情報等の取り扱いに関する方針や範囲を明確にした方針書を策定し、実際の取扱い方法についても取扱い規定を定めておきます

1. マイナンバーへのアクセスログの保存・検証
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、ＵＳＢなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

2. アクセス制御
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。

3. ファイアウォール等を設置
外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。

4. 各PCのウイルス対策・アップデート
各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。

5. パソコンの外部持ち出しにも注意
特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。

6. 情報の取り扱う区域を決めて隔離する
オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。
またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。

｢FinalCode」は委託先など社外に渡す重要なファイルを暗号化し、「渡した相手から情報が漏れてしまう」間接的な情報漏洩を防ぐセキュリティ対策ソリューションです。

マイナンバーのセキュリティ対策では、委託先にも自社と同等の安全管理措置を担保する管理・監督義務があるため、従来は一般的でなかった“社外からの”情報漏洩対策がポイントの1つになり、「FinalCode」が有効なソリューションとなります。

そもそも人事・給与・経理の業務を外部にアウトソースしている事業者は少なくないが、マイナンバー法（「行政手続における特定の個人を識別するための番号の利用等に関する法律」）でも、マイナンバー管理を外部の専門業者やクラウドベンダーに委託することは認められている。ただし、同法上、委託先のマイナンバー管理についても委託元の事業者が監督責任を負わなければならない。同様に、クラウドサービスを使ってマイナンバーの管理を行う際も、そのセキュリティを、利用者サイドが責任を持ってコントロールしていく必要がある。

マイナンバー取扱事務を委託する際は、委託先が重要な情報であるマイナンバーを取扱う事務を任せるにふさわしい相手であるかどうかについて「必要かつ適切な監督」をすることが求められています。
ガイドラインによるとこの「必要かつ適切な監督」には、具体的に、以下の内容が含まれていると説明されています。
委託先の適切な選定
安全管理措置に関する委託契約の締結
委託先における特定個人情報の取扱い状況の把握