【企業とマイナンバー】アカウント管理台帳

マイナンバーをIT管理する際、誰でも見れる状況ではいけません。アカウントを台帳などで管理し、管理者を限定しましょう。

企業でのマイナンバーの利用方法は限定的

 (40506)
マイナンバー制度では、行政機関だけでなく、民間事業者にも特定個人情報(マイナンバーをその内容に含む個人情報)の適正な取扱いが求められます。マイナンバーは法律で定められた範囲以外での利用が禁止されています。

利用する場面とは

定められた範囲は意外と狭いものです。
何に必要になるのか、知っておくようにしましょう。
・事業者が従業員等から個人番号の提供を受けて、これを給与所得の源泉徴収票、給与支払報告書、健康保険・厚生年金保険被保険者資格取得届等の必要な書類に記載して、税務署長、市区町村長、日本年金機構等に提出する事務(同法第9条第3項)
・金融機関が顧客から個人番号の提供を受けて、これを配当等の支払調書に記載して税務署長に提出する事務(同法第9条第3項)
・健康保険組合、全国健康保険協会等(以下「健康保険組合等」という。)が個人番号を利用して個人情報を検索、管理する事務(同法第9条第1項)
・激甚災害が発生したとき等において、金融機関が個人番号を利用して金銭を支払う事務(同法第9条第4項)
さらに、事業者が、行政機関等又は他の事業者から個人番号を取り扱う事務の委託を受けた場合も、番号法の適用を受ける。
番号法によって定められています。
同時に、罰則も確認しておくべきです。

マイナンバーに関する企業への罰則

番号を流出させた企業には懲役(最高4年以下)や罰金(最高200万円)などの刑事罰が科される
通常の個人情報よりも重い罰則が科せられます。
注意が必要です。

委託する責任は自社にあり

《必要かつ適切な監督》
○①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握
○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。
これまでの制度では、税のことは税担当部門へ、社会保障は社会保障担当部門へ問い合わせ、それぞれで手続きを行っていました。
けれどもこうしてきちんと手続きをしているにも関わらず、その情報が共有されていないばかりに、違う部署でまた同じことを尋ねられることも珍しくなかったのです。

こうした状況は二度手間を生み、無駄な時間を費やすことになるのは明らかです。
それを改善するために導入されたのが、マイナンバー制度です。
国民一人ひとりに番号が割り振られ、その番号のもとにすべての情報が集まる仕組みです。
これが、今まで連携が取れていなかった分野同士をつなぐ番号ということになるわけです。

これによって、今までならあちこちで手続きしないといけなかったものが連動され、手間を大いに省くことが可能になりました。

IT管理のアカウントを記録しましょう

システム保守・運用業務の安全対策チェックリストの一部をご紹介しました。対応済みの項目が少ない場合、改善が必要と考えられます。

対象システムにどのような管理者権限を有するIDがどの程度存在し、誰がどのように管理をしているか、定期的に確認している。
複数人で同一の管理者アカウントを使い回さない。または、管理者アカウントの使用者/使用日時等の履歴を記録・保管している。
管理者アカウントは、システム保守作業などの必要に応じて都度貸し出しており、保守・運用担当者が常にシステムへアクセスできないようにしている。
システム保守で使用する管理者アカウントのパスワードは、定期的に変更している。
システム保守作業に際しては、立ち合いを行うなどして、担当者単独での作業をさせないようにしている。
システム保守作業内容を事後に確認できるよう作業ログ等を保存している。

例えばITシステムによる管理であれば、その担当者を決めて記録することが大事です。
アカウントの権限、その範囲を書面として残しましょう。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする