マイナンバー制度がスタートし、企業は従業員のマイナンバーを収集し、管理・保管をしている状態になりました。今後はこのマイナンバーの漏洩・流出が企業にとって脅威となるでしょう。セキュリティに力を入れることが急務となっています。
企業がマイナンバーを管理
また、社内のシステムを見直したり、作り替えることも検討します。
①マイナンバー管理・保管上の注意
マイナンバーを書面で収集した場合は、会社のルールに基づいて施錠可能なキャビネット等に保管し、勝手に持ち出しや閲覧ができないようにします。また、給与システム等にマイナンバーを入力しておく場合は、責任者や取扱担当者以外の者が触れることができないようにパスワードなどでログインができないようにしておくことも重要です。
②マイナンバー利用時の注意点
事業者がマイナンバーの利用する目的は、主として税務関連手続、社会保険等手続になります。どのような書類や手続きに必要なのかを責任者と取扱担当者は良く理解したうえで、必要時には双方が利用したことを確認できるように報告体制( 稟議書提出など) を整えておくようにします。
マイナンバーデータが登録されているパソコンまたはサーバーが、ネットワークでつながり他のパソコンから自由にアクセスできる状態なら、変更が必要です。
その場合には、マイナンバーデータには事務取扱担当者以外はアクセスできないよう設定変更するか、またはネットワークから外したパソコンにマイナンバーデータを移すかの対応が必要です。
○該当パソコンは事務取扱担当者にしか操作できないように、パスワードを設定する。
(特に設定しなくてもXPより後のwindowsソフトでは起動時にパスワードを求めるログイン画面がでる)
〇ウイルス対策ソフトを導入し、常に最新の状態にしておくとともに、可能な限りインターネットに接続されている電子機器とは接続せずに、外部から切り離した状態にしておくことが望まれます。
○事務取扱担当者の席は、後ろから見えないよう、間仕切り、または配置を工夫。
企業にとって負担になるのか?
その上、安全管理に関しても企業の責任は非常に大きなものとなります。
必要以上に恐れる必要はないとはいえ、万が一のことを考えると手を抜くわけにはいきません。
マイナンバーを扱う担当者はもちろん、社内全体の理解を深めておかなくてはなりません。
企業がマイナンバーを利用する場合は、取得から破棄に至るまで
厳格な管理が必要となるため、
相応の社員教育や、情報セキュリティへの対策が求められます。マイナンバー制度は、企業にとって負担が純粋に増える制度といえます。
帳票を扱う総務・経理部門だけでなく、システム部門や
コンプライアンスに関わる部門など、
幅広い部門に影響が及ぶことが想定されます。
マイナンバー法違反を防ぐために必要なのは、「情報の周知」と「社内ルールの徹底」です。まずはすべての従業員にマイナンバー制度の概要と、違反すると重い罰則が科されることを伝えましょう。その上で一定の社内ルールを設け、マイナンバーの安全管理措置を徹底することが大切です。
また、派遣社員などへの周知徹底も必要です。例えば、人事データを取り扱う派遣社員が派遣先の従業員のマイナンバーを漏えいさせた場合、雇用契約を結んでいる「派遣元企業」だけでなく、就業先である「派遣先企業」も法的な責任が問われる可能性があります。
不正アクセスなどのサイバー攻撃などがごく身近な危機となっている現在、マイナンバー対応に限らず、個人情報保護体制を整備するためには、担当部門が対応策を検討するだけでなく、企業全体で意識向上を図ることが必要不可欠です。
マイナンバー収集に際しては、マイナンバーを単に収集するだけでなく、①従業員各人の本人確認が必要になり、 いったん番号を収集した後は、②マイナンバーに関する安全管理対策を徹底しなければなりません。 これは中小企業事業者にとって大きな事務負担となります。まず①本人確認については、 各従業員が番号を正確に申告しているかどうかを確認する(番号の真正性の確認)とともに、 実際に申告する従業員が正しく本人であるかの確認(本人の実存性の確認)が、法律上も義務付けられています。 これらの確認作業は、いずれも公的な証明書類による確認が義務付けられているため、 従業員にとっても企業にとっても大きな事務負担となるのです。次に②安全管理については、 従来の個人情報管理と違い、数人程度の事業者であっても従業員のマイナンバーの安全管理が義務付けられました。 安全管理に伴う業務ルール、およびそれらを継続的に運用できるような体制づくりが必要となります。 これら業務対応に伴う事務負担の増大とそれに応じたコストの発生、今後起こりうる損害賠償の問題など、 中小企業事業者にとっては、負担感以外、なにものでもありません。
それはどんな企業にも同じことですので、例外なく対処しなくてはなりません。
万が一の備えを
さらに、世間の注目を浴びメディアへの対応を迫られたり、当然ながら企業のイメージダウンは避けられません。
少なからず、万が一の備えをしておく方が良いでしょう。
1.企業にも刑事罰刑事罰の前提としては、不正行為を行った社員に対してのものになり、最高懲役刑としては、4年が設定されています。企業には、両罰規定によって最高200万円の罰金刑が科される可能性があります。
2.企業への損害賠償請求の可能性
損害賠償請求については、管理していた会社に対する使用者責任や監督責任からの追及となります。所得に関する情報や健康に関する情報が紐づいている番号が漏えいした場合には、相当額の損害賠償請求が予想されます
3.特定個人情報保護委員会への対応
行政対応については、特定個人情報保護委員会という第三者委員会が設置され、報告や資料提出の求め、質問、立入検査が行われます。その対応をする必要があります。
4.社会的信用の低下
社会的信用の低下とは、漏えい事故を起こし、マイナンバーをずさんに管理した企業と見られると、信用低下から、その後、ユーザーからの解約が相次ぐケースもありえます。
マイナンバーを扱う事で気を付けなくてはならない事が増えます。それが、個人情報漏洩の問題です。
今までの個人情報以上に厳重に管理をしなくてはいけなく、また万が一漏洩してしまった時のリスクは非常に大きなものとなります。
まずは情報が漏えいしない様な体制造りが重要になります。
また、万が一漏れてしまった時のリスクヘッジも今後の企業様には必要不可欠な項目になります。
万が一の情報漏洩の際のリスクヘッジとしての代表的な方法は保険でリスクを軽減する方法です。
○ 情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。
○ 責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。
○ 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
○ 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
とはいえ、外部からの悪意ある攻撃がないとも限りませんので、万が一の事も念頭に入れておいたほうが良いのかもしれません。