マイナンバー情報の流出防止策として内閣府はアクセス制御の徹底管理を支持しています。アクセス制御の説明と、注意点をいくつか説明します。
中小企業の経営者には、従業員のマイナンバー情報が外部に流出しないよう、完璧な情報管理が要求さられています。
政府が企業に要求するマイナンバー情報の安全管理
マイナンバー情報の管理ガイドラインを内閣府がすでに発表しています。
2014年12月に特定個人情報保護委員会が発表したので、中小企業のオーナーさんはすでにご存知でしょう。
下記の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」です。
2014年12月に特定個人情報保護委員会が発表したので、中小企業のオーナーさんはすでにご存知でしょう。
下記の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」です。
「大きなポイントの一つは、データベースに対するアクセス制御/権限管理をしっかりと行い、マイナンバーを扱う人と扱わない人、さらにはマイナンバーを扱うシステムと、そうではないシステムをしっかりと区分けすることです」先にも触れた通り、マイナンバーを取り扱う事務内容や担当者は、マイナンバー法にのっとったかたちで限定されなければならない。従って、他業務の担当者がマイナンバーにアクセスできてしまうことは避けなければならず、特定個人情報ファイルに対するアクセス権(ID)管理やアクセス制御を緻密に行うことが必要とされる。また、マイナンバーは行政手続きでしか使えないため、マイナンバーにひも付けてアクセスできる情報の範囲も(アクセス制御で)限定しなければならない。
マイナンバー情報管理の鍵を握るのは、マイナンバーを扱う人と扱わない人を完全に区別する事、つまりはアクセス制御にあります。
特定個人情報に対するアクセス制御やアクセス者の識別と認証は中小企業には義務化されていない。
だが、現代のようにインターネットなど、ITを日常的に活用しながらで事業を営む環境では、情報システムの安全管理は中小企業にとっても重要な経営課題である。
マイナンバー情報の安全管理で必要なアクセス制御
「アクセス制御」という単語がガイドラインに記載があるのは「技術的安全管理措置」の項目です。その前提として、「組織としてマイナンバーにアクセスできる人を限定する」があります。したがってアクセス制御とは、システムの導入に限らず、書類であってもアクセスできる人を限定して管理していく必要があるということです。
これはマイナンバー情報を記録しているコンピューター端末のアクセス権限を制御するだけに限りません。
マイナンバー情報を紙のデータで保管している場合、その保管場所にアクセスできる人も限定しなければならないのです。
マイナンバー情報を紙のデータで保管している場合、その保管場所にアクセスできる人も限定しなければならないのです。
個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定する。
ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
少人数を雇用している企業は、出遅れている感があります。理由は、少人数を相手にしているため影響が小さいことからあたり前に考えてしまうのかもしれませんが、どうしても情報収集の遅れは否めないようです。なお、小規模事業所の殆どは、マイナンバー管理について「紙」と「金庫」がキーワードのようで、システムや委託とは無縁であるといった状況のようです。
10人から20人前後の従業員を雇用する中小企業は、給与管理もまだコンピューターを導入していない事業所が珍しくありません。
マイナンバー情報の管理も書類を金庫保管している事業所が多く、情報管理の甘さが問題視されています。
マイナンバー情報の管理も書類を金庫保管している事業所が多く、情報管理の甘さが問題視されています。
万が一の情報漏えいに事前に対処する
漏洩防止に対応するために必要となるデータベース機能には、データの暗号化があるだろう。万一マイナンバーの入っているデータベースファイル入りのハードディスクを盗まれたり、あるいはデータベースサーバーなりが丸ごと盗難にあったりした場合にも、中身のデータが適切に暗号化されていれば漏洩を防止できるだろう。もう1つの個人番号の削除や電子媒体の破棄の際にも、捨てる前に完全にデータを消去するのはもちろん、仮に片鱗が残っていても解読できないよう暗号化しておくに越したことはない。
データ情報を暗号化しても、その情報がマイナンバー情報である事実に変わりはありません。
暗号化したからといって、アクセス制御が不要になる訳ではないのです。
暗号化したからといって、アクセス制御が不要になる訳ではないのです。