どうしてマイナンバーのための管理システムアップデートが必要なのか?

個人情報ならすでに管理してるじゃないか、という企業さまへ。個人情報流出対策のアップデートは必須のようです。

マイナンバーと民間企業

マイナンバーは行政的な制度ですが、民間企業においても深く関わるものになります。
まずはざっくりマイナンバーの概略をおさらい。
 (17555)

マイナンバー制度は日本が2016年度から導入する個別の制度名で、一般的には「国民総背番号制」と呼ばれます。
すべての国民に個別の管理番号をつけ、それに基づいて社会保障や個人情報の管理など、行政の処理をすべて行うというものです。
マイナンバーが使われるのは主に以下の3つに関連するときです。

・社会保障
・税金
・災害補償

国民の一人ひとりにマイナンバー(12桁の個人番号)が割り当てられ、平成28年1月から、社会保障・税・災害対策の行政手続で使用がはじまります。それに伴い民間事業者も、税や社会保険の手続で、従業員などのマイナンバーを取扱います。
企業には自然とその従業員に応じたマイナンバーが集まります。企業は行政側に従業員の給与所得や住民税額などの情報を提供しなくてはいけませんから、マイナンバーなしにそれらの業務を行うことは出来ません。それはいくら少人数の企業でも同じことです。

マイナンバーは、個人情報のなかでも、とりわけ厳重な扱いが要求される

名前や住所もすでに管理している。。。
どうしてマイナンバーの管理だけがこれほどに騒がれているのでしょうか?
 (17558)

「特定個人情報」とは、マイナンバー(個人番号)やマイナンバーに対応する符号をその内容に含む個人情報のことです。
(略)
特定個人情報も個人情報の一部なので、原則として個人情報保護法が適用されます。さらに特定個人情報は、マイナンバーによって名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を番号法で上乗せしています。また、番号法の保護措置は、個人情報保護法が適用されない小規模な事業者にも適用されます。
マイナンバー法では、事業者は、個人番号及び特定個人情報が漏えい、滅失又は毀損することなく適切な管理を行うために、各種の安全管理措置を講じなければならないとされています。
具体的には、組織体制の整備などの組織的安全管理措置、事務取扱担当者の監督や教育などの人的安全管理措置、特定個人情報等を取り扱う区域の管理や、機器及び電子媒体等の盗難等の防止などの物理的安全管理措置、アクセス制御、外部からの不正アクセス等の防⽌などの技術的安全管理措置などに取り組むことが求められます。
組織的、人的、物理的、技術的な「安全管理措置」というキーワードが出てきました。

扱いをおろそかにしてしまうと・・・

適切な管理がなされないと、重い罰則や企業イメージの毀損、さらには被害者からの損害賠償請求などのリスクが予見されます。
 (17559)

  制度面の保護措置としては、法律に規定があるものを除いて、マイナンバーを含む個人情報を収集したり、保管したりすることを禁止しています。また、特定個人情報保護委員会という第三者機関が、マイナンバーが適切に管理されているか監視・監督を行います。さらに法律に違反した場合の罰則も、従来より重くなっています。
企業におけるマイナンバー制度への対応では「従業員に各自のマイナンバーを申告してもらい、それを源泉徴収票などの書類に記載すればよい。そのためには人事/給与システムにマイナンバー用の項目を追加すれば十分である」という誤った理解も少なくない。
(略)
マイナンバーは個人の所得にも関連する重要な情報であり、適切に管理されなければならない。そのため不適正な理由や目的による情報の収集や漏えいなどには、個人情報保護法よりも重い罰則規定が設けられている。例えば、故意の漏えいに対しては最高で4年の懲役が科せられる。
個人情報のなかでも、とりわけ重要なものということで、適切な管理をしない場合には罰則も厳しい模様…

管理のためのサービスやシステムを利用しよう

こういった不安を解決するために、多くの企業が動き出しています。
 (17556)

このマイナンバー制度の運用開始にあたっては、マイナンバーのライフサイクル管理を企業が行っていく必要がある。大前提として、企業が自治体に提出する書類、具体的には源泉徴収票など税に関する書類や健康保険など社会保障に関する書類などにマイナンバーの記載が義務づけられるため、従業員や支払が発生する個人事業主などからマイナンバーを事前に取得しておき、秘匿性が高い情報であるがゆえに厳重な保管を行う。そして、申告のタイミングで各種書類にマイナンバーを記載し、自治体に提出することになる。また、従業員が退職するなどマイナンバーがその企業にとって不要になった場合でも、7年間厳重に保管した上で復元不可能な形で破棄することも要件の1つに数えられている。
 このような管理を実現するためには、既存業務を見直しながら、各種帳票を出力するためのシステム、具体的には人事給与パッケージなどの改修が必要だ。
マイナンバーの送付開始がせまるなか、マイナンバー制度に対応し、大手ITベンダーから給与などのパッケージソフトにいたるまで、様々なシステムが発表されています。中小企業で従来から給与システムを利用している場合、多くは同じベンダーの給与システムのマイナンバー対応のバージョンアップを待ち、その内容に応じてマイナンバーを管理するように予定されているのではないかと思われます。
マイナンバー対策でより高いセキュリティ対策を講じるためには、紙ベースでの取り扱いは極力避け、電子データで取り扱うことがベターな選択となります。中小企業は、大規模な企業に比べてIT活用が遅れていることは事実ですが、マイナンバー制度の進展に伴い、紙ベースのアナログな社会から本格的なIT社会へと移行が進んでいくことを想定すると、マイナンバー対策を契機にできるかぎり効果的なIT活用を進めていくことが中小企業にとって避けられない課題となってきます。
(略)
使用しているパッケージソフトでそこまで対応しているか、対応していないのであれば、パッケージソフトの見直しも考える、そして、事業所内のパソコンやサーバにマイナンバーを保管することのリスクを、IT活用でどのようにすれば軽減できるのかということも見直す場合の課題にしていきたいところです。
ただし、管理業務やシステムのアップデートが間に合わない場合も想定しておきましょう。
マイナンバーを収集したら、すぐさま管理する責任が生じますから、安全管理措置も講じられていなければならない。ただ、システムの構築が間に合わないのであれば、当初は紙ベースで管理して金庫に入れておく、という方法でもやむを得ないでしょう。ただし、2016年末近くには源泉徴収票作成がありますから、それまでにプライオリティを決めてシステムの改修・構築を進めていく必要があります