マイナンバー制度の開始に向けて、企業が安全・安心を得ることができるような対策とは?

マイナンバーの性質についておさらいと、企業が本当に安全・安心を得ることができるような対策とは何か?ということに関連した記事を探してきました!

まずは社内ルールを作る!

最初に必要なのは、特定個人情報を含めた機密情報を扱うにあたって、社内ルールを決めておくことだという。この情報を見る必要があるのは、“どの部門”の“どの役職”だから、それ以外からは閲覧禁止にするといったように、業務の実態に合わせて情報の取扱いについてのルールを決める必要がある。

「ルールを決めるというのは簡単そうに見えて実は大変な作業です。社内の情報の整理からルール作成まで、1~2ヶ月は平気でかかってしまうでしょう。特に小さな企業では、1人ですべてをやらなければいけないケースもあると思います。そのような場合には、もう1人担当者を設けたり、専門家からアドバイスを受けたりするといいのではないでしょうか」

小さな企業であっても、社内ルール作成を甘くみてはいけないということですね。

作成の際に専門家からのアドバイスをもらえば、かなり安心感が得られると思います。

 (12753)

ルールを決める際、情報、つまりファイルの置き場所も決めましょう!

まず、マイナンバーをどこにどのように保管するか。社員が所属する各課から総務課に送付する場合、各課では保管しないで総務課に集約するのか否かをまず考える。必ずしも各課で保管してはいけないというものではないし、1カ所に集約しなければならないというものでもない。ただし、従業員や外部者による不正利用、不正持ち出し、不正複製、紛失、漏えい等を防ぐため、安全な保管方法とする必要がある。

 そうはいっても、難しく考える必要はない。どこの会社でも、限られた従業員にしか見せずに、紛失・不正複製などが起こらないように管理している情報はあるだろう。会社によって異なるだろうが、例えば従業員の人事査定情報、セクハラの訴えと調査経過、営業先の詳細情報、企業秘密などが挙げられる。

 具体的な保管方法としては、マイナンバーが記載された書類、電子媒体(USBメモリー、CD、DVD、MO等)は、鍵のかかる引き出しや棚に保管しよう。マイナンバーが記録されていたり閲覧できたりするパソコンなどは、セキュリティワイヤーなどで固定して、容易に盗み出されないようにしよう。

 費用をかけない方法としては、従業員のマイナンバーと通知カードのコピーを集めたら、金庫に保管し、必要があれば適宜、金庫から出して、社会保険労務士や税理士に渡すという方法が考えられる。その際は、社会保険労務士・税理士との契約でマイナンバーに関する取り扱いをきちんと約束しておくこと、金庫にいつ誰が入れたり出したりしたかメモを取っておく。保管場所は、金庫に限らず、鍵の保有者がごく限定されている施錠された引き出しでもよい。要は、誰でも簡単に見られるような保管方法とはしないことがポイントだ。

ネット上では「厳重に!」という声が多いようですが、上記の記事を読むと貴重品を保管するのと似ていて、かなり身近に感じられるやり方だと思います。

身体を壊すくらい神経質にやるより、こちらの方がいいのかもしれません。

 (12757)

マイナンバーを取り扱うための体制を整備する。

対応すべき企業体制整備!

ガイドラインが示す保管方法~管理区域と取扱区域の設定~

まず、マイナンバー情報を保管、利用する区域を設定します。
マイナンバー情報が記載されている書類を保管する場所の設定(管理区域)と、そのマイナンバーを利用する区域(取扱区域)の設定です。
ガイドラインが示す保管方法~取扱区域の立ち入り制限と持ち込み制限~

次にその区域に進入することができる従業員を確定します。こうした体制を作ることで、マイナンバーの不正利用や情報漏えいなどの事案を防ぐことができます。
管理区域にてマイナナンバー情報を書類保管する場合、管理区域に入室できる従業員を数名に絞り込み、それ以外の従業員の入室を禁止します。また、管理区域への入室については、いつ、誰が、何の目的で入室し、誰のマイナンバー情報を持ち出したのかを記録することが望ましいでしょう。入退室の制御については、認証コード(番号認証・静脈認証など)を必要とする鍵を設定することが安全対策上望ましいですが、記録簿を付けることなどで管理することも検討しましょう。
当然ですが、不正防止のため、管理区域へ入室する際の機器等の持ち込み制限も設定する必要があります。
例えばカメラ機能のついた携帯電話やメモリー機能のある記憶媒体などの携帯は厳禁です。こうしたルールはあらかじめマニュアル化し、従業員教育を徹底しましょう。
管理区域内には鍵付の鉄庫・キャビネット・金庫を設置し、そこにマイナンバーを保管し、鍵については管理者を選任して管理しましょう。
こうした安全な管理が行えるかチェックし、管理区域内にてマイナンバー情報の漏えい事案を防ぐ体制を整備してください。

保管区域に進入することができる従業員の確定は大切ですね。

また、入室後のマイナンバー情報持ち出し記録があれば、いざという時に便利です。

 (12780)

クラウドサービスによる情報システム利用は「委託」に該当する?

他の法的人格に対して「特定個人情報の取扱の全部若しくは一部」を任せる事が、ここでいう「委託」に該当します。
では、マイナンバー等を管理するシステムとして、クラウドサービスを利用している場合はどうでしょうか?
2015年8月時点で、弊所が「クラウドによるマイナンバー収集管理サービス」を提供している事業者に問い合わせたところ、その事業者においては、当該サービスがマイナンバーの委託に該当するとは考えていない、との回答を得ています。
これに対する特定個人情報保護委員会の「Q&A」を事項に紹介します。
 (12785)

特定個人情報保護委員会の「Q&A」

Q3-12特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。
A3-12当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。(平成27年4月更新・Q9-2に分割)

Q3-13クラウドサービスが番号法上の委託に該当しない場合、クラウドサービスを利用する事業者が、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。
A3-13クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は課されませんが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要があります。

クラウドサービスを利用しても、委託にならないんですね。

しかも、サービスを提供する事業者に対して監督を行う義務もないというのは、手間が省けてとてもいいですね。

ただ、どうしても心配というのであれば、「適切な安全管理措置を講ずる必要がある」とありますので、各会社役員で相談して決めればいいと思います。

 (12789)