事業者の方々には、組織、人的、区域の管理、盗難防止、アクセス面での不正防止といった、様々な安全管理措置などにしっかりと取り組んでいかなければなりません。そのための対応方法をご紹介します。
適切な管理で個人情報の漏えいや損失などをなくすことが大切
個人情報保護法ではプライバシーポリシーを公表することが義務でしたが(個人情報保護法第18条第1項)マイナンバー法においては規定されていないため、個人情報保護法が適用されることとなり利用目的を明示しなければなりません。
案外忘れてしまわれがちかもしれません。
企業は、マイナンバー及び特定個人情報の漏洩、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
基本的なことではありますが、一番肝心なことでもあります。企業にとっても、従業員にとっても、決して怠ってはいけない措置になります。
via flets.com
組織として基本的な安全管理体制をしっかりと整えて、いざという時のための措置がとれるようにしていただきたいです。
特定個人情報に対しての措置
法律で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄又は削除しなければなりません。
外部に持ち出してもらわれると大変なことになります。保存期間を過ぎたものが残っていないように、徹底していただくことが大切です。
委託先においても同様に監督の義務付け
社会保障及び税に関する手続書類の作成事務の全部又は一部部の委託をする者は、委託先において、法律に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
これは、再委託及び再々委託の場合でも同様に、適切な監督を行っていただかなければなりません。
組織的な安全管理措置について
システムログや利用実績として記録することによって実際の運用状況が取扱規定に基づいたものであることを目に見える形で残すことが可能となります。
中小規模事業者の場合、システムログを取らずに作業日報等によって取り扱った内容を記録する以外にも、あらかじめ作成したチェックシートに対して事務作業を行なう方法によって記録を保存するという安全管理措置を講じることができます。
事業者の方は、マイナンバーの安全管理を行う担当者を明確にして、他者が取り扱わないようにしていただかなければなりません。
人的安全管理措置について
via www.sbisec.co.jp
マイナンバーの不正な漏えいや盗難などが、内部者が行うのはもってのほかです。実務取扱担当になられる方には、適正に取り扱ってもらうための安全管理措置をお願いしたいものです。
物理的安全管理をどのように講じればよいのか
マイナンバーの安全管理において、特にコストがかかると予想されるのが物理的安全管理措置と技術的安全管理措置です。
そのため、事業者・団体の実情に合わせて、効率の良い設備等投資を行う必要があります。
また、マイナンバーをはじめとする特定個人情報の管理を紙媒体メインで行うのか、電子的なデータメインで行うのかによっても、これらの措置はかなり変わってきます。
各事業者の方々は、設備などしっかりと整えていることと思います。それぞれに合った方法で、安全管理を行っていただきたいです。
ひとつめの理由は、マイナンバー取扱事務においてはその性格上、PCやコピー機など、容易にファイルを複製することが可能な機器を利用する機会が多くなることが挙げられます。
そのため、管理区域において不正な複製またはデータのマッチングなどが行われやすい状況を招いてしまいます。ふたつめの理由は、マイナンバー取扱事務は複数の種類があり、その事務を取扱う担当者がそれぞれに異なっていることが少なくないことです。
異なる事務取扱担当者が同じ区域で作業すると、自身の取扱範囲ではない事務について目にする機会が増え、その分、情報漏えいの危険性が高まります。
情報漏えいの危険性を回避させるためにも、この二つの区域においての措置はとても重要です。
適正に取り扱っていただくためにも、区域管理や盗難防止などの物理的な安全措置は、各事業者の方々には徹底してもらいたいと思います。
オフィスへの入退館、ICカードやナンバーキーなどによる管理、座席管理、関係者以外の物理的遮断などを基本として、機器や媒体の持ち込み禁止、所持品チェックも大切です。
オフィスへの入退館、ICカードやナンバーキーなどによる管理、座席管理、関係者以外の物理的遮断などを基本として、機器や媒体の持ち込み禁止、所持品チェックも大切です。
技術的な安全管理措置の方法
従来の「右に倣え」的なセキュリティ対策ではなく、「我に倣え」のセキュリティ意識を持つ必要がある。番号法ガイドラインの要となる技術的安全管理措置の「外部からの不正アクセス対策」に記載されている例示は、「ファイアウォールの導入」「アンチウイルス対策」「パッチ適用」という最低限の対策しか言及されていない。例示の対策のみの対応だけでは、世界的に繰り広げられているサイバー攻撃に対し、マイナンバーを守ることは到底できない。
セキュリティ対策は今の時代、とても重要です。しっかりと対策を立てるようにしてください。
マイナンバーを取り扱う人事、経理といった部門に対し、標的型のフィッシングメールなどが届くことは容易に想像できるが、そのメールに含まれるURLや添付ファイルにしても、例示に言及されているような既存のフィルタリングでは脅威を検知できない可能性がある。今後マイナンバーに絡んだ情報漏えいが発生した時点で確実にガイドラインの不足点が追求され、その内容が改定されるだろう。
最初から、情報漏えいが発生しないようなガイドラインを作ってもらいたいものです。
いくつかあるリスクには、最新型マルウェア、フィッシング、標的型攻撃、ゼロディ、SSLなどがあげられます。しかし、被害者とならないためにも、適切な対策をしていただきたいと思います。
事業者の方には、頭を悩ませることの一つかと思われます。セキュリティ対策の負担を軽くするためにも、クラウドサービスを利用するという方法もあります。