マイナンバーのセキュリティ対策を考えるうえで必要なこととは？

企業は個人情報の取り扱いとともに、さらにマイナンバーの取り扱いにも、十分な対策をしておかなければなりません。情報漏えいが発覚してしまうと、その後の対応だけでなく企業のイメージまでもが悪くなってしまいます。これを機会に、今一度セキュリティ対策の見直しを行うことが大切です。

もしマイナンバーが流出してしまった場合の罰則について

マイナンバーの不正や漏えい、盗用などで、事業者が対象となってしまう罰則は厳しいものになります。

via b.pasona.co.jp

マイナンバーと、マイナンバーを含む個人情報は「特定個人情報」として定められていて、マイナンバー法では本人の同意の有無にかかわらず、「社会保障」「税」「災害対策」といった法律で定められた利用目的以外でむやみに利用することが禁じられている！
via マイナンバー通知目前！情報漏えいの罰則をおさらい！｜会計業務の役立つ小ネタ｜経理キャラナビ！

特定個人情報は、管理体制も強固なものにしておかなければならないため、罰則はもっと厳しいものになります。そのため、当人だけではなく企業までもが責任を問われるので注意する必要があります。

企業のイメージダウンにならないように、幾重にも施した万全の対策で整備しておくことが大切となります。

via www.alsi.co.jp

情報漏洩対策ソリューションInterSafe ILPとWebフィルタリングInterSafe WebFilterを組み合わせれば、社内での情報管理から、社外への流出防止、万一の漏洩時の対策まで、トータルに配慮したセキュリティ体制が整備できます。
via マイナンバーにはInterSafe！特定個人情報取り扱いは厳重に。：HotTopic ｜アルプスシステムインテグレーション（ALSI）

ファイルの暗号化、デバイス制御、Webのフィルタリングで情報を漏えいさせないようにお願いしたいと思います。

もし、漏えいや管理体制に問題が起こった場合には、厳しい罰則が科せられてしまいます。故意でないにしても、事前にきちんとしたセキュリティ対策を行っていただきたいと思います。

セキュリティ対策を行う前にすべきこと

情報セキュリティ対策には、どんなリスクがあって、被害や影響はどのようなものなのか知っておく必要があります。

via enterprisezine.jp

企業が情報セキュリティ対策を行うにあたり「守るべきもの」を決めること、情報セキュリティの要が「人」であることなどをご説明しました。そして情報セキュリティ対策には組織的対策、技術的対策、物理的対策、人的対策の4つのポイントがあります。それを踏まえた上で今回からはいよいよ対策をご説明していくことになりますが、その前にやるべきことがあります。それは現状の確認です。
via 企業が取り組むべき“情報セキュリティ対策”のポイント – IT、IT製品の情報なら【キーマンズネット】

今現在何が不足していて、どこを強化しなければいけないのかきちんと把握して対策を立てるようにしてください。

マイナンバー取り扱い担当者を明確にする

マイナンバー対応策として最も緊急性があるのが「担当者の明確化」と「適切な教育の実施」そして「取扱担当者を決め他の人が個人情報にアクセスできない仕組み作り」となります。このような経営者のタイプは自ら動こうとしてないわけですので、組織的で人的な案件管理措置から始めることが重要です。
via 第4回:急がば回れ!?今後のマイナンバー対策を考える – IT、IT製品の情報なら【キーマンズネット】

3つのポイントの対策ができていなければ安全とは言えません。今からでも遅くはありません。安全管理措置を行うようにしてください。

組織的、人的な安全管理措置を行うためにも、マイナンバーを取り扱う担当者を決めて、経営者が指示を出すようにしてください。

via www.keyman.or.jp

特定個人情報を明確にする

個人情報の項目を、最初にどれくらいまでにしておくとよいのか、管理しやすいのかを確定することが大切です。

via bspring.club

安全管理措置を実施する際に、各企業でどのような内容が守るべき特定個人情報であるのか定義が必要です。
管理をする上で、ここに含まれる個人情報の項目は必要最小限に限定することがポイントとなります。
via マイナンバー制度ソリューション解説 | 取扱う特定個人情報の洗い出し

項目をどこまで明確にするかによるのですが、あまり項目が多すぎても管理が行き届かなくて、ちょっとしたミスで漏えいしてしまっては何にもなりません。

基本方針及び取り扱い規定等の策定をする

基本方針については、中小事業者に該当してもしなくても、策定することは強制されていません。しかし、従業員などに、特定個人情報をどのように取り扱うべきかについて、明確にすることができるので、作成することが望ましいでしょう。
via 中小企業のためのマイナンバー（３） | 一般社団法人東京法人会連合会

特定個人情報を取り扱うからには、強制されていないからという理由で、策定しないままにしないようにしてください。

取得→利用・提供→保管→廃棄・削除という流れで、マイナンバーの運用はもうすでに開始されていますが、準備をしっかりとしたうえで運用してください。

via www.office-copy.com

取扱規程は中小事業者に該当しない場合は、必ず作成が必要となります。また、中小事業者に該当する場合は、取扱規程の作成義務はありません。ただし、お客さんとお話をしていると、何も作成しないと、余計にわからなくなるので、サンプルがあれば参考にして、取扱規程を作成したいというお話もよく聞きます。
via 中小企業のためのマイナンバー（３） | 一般社団法人東京法人会連合会

分からないままにしておかずに、相談やサンプルを参考にして、それぞれの取り扱い規定を策定するようにしてください。

マイナンバーのセキュリティ対策のポイントとは？

ポイントをしっかりとおさえて、自社では何が足りないのか把握して、対策を立てるようにしていただきたいです。

via www.compass-it.jp

マイナンバーの取り扱いプロセスには、
①番号の収集（本人確認）
②安全な保管と管理
③指定の帳票への記載
の大きく3つの分野がある。
via ITで便利になるマイナンバー対応 | 中小企業のIT経営マガジン COMPASS

専用のクラウドサービスでシステム化して、人の目に触れないようにすることや、利用者を限定してIDやパスワードを管理しておくことも大切です。また、企業にもよるかと思いますが、現在の業務システムを確認して体制をしっかりと整えるようにしていただきたいです。

会社として、マイナンバーに関する情報提供を行い理解度を深めるべく、従業員教育を行いたい。
現場の業務があると集合研修はなかなか難しいが、今は、パソコンを利用した「eラーニング」が発達し、マイナンバーに関しても学習システムが提供されている。
via ITで便利になるマイナンバー対応 | 中小企業のIT経営マガジン COMPASS

従業員の方たちが、マイナンバーの取り扱いについてきちんと理解してもらい、適切な取り扱いができるようにしていただきたいと思います。