企業にとって、マイナンバー対応の最も重要な課題が「マイナンバーの収集と管理」となる。
マイナンバーを含めた個人情報はマイナンバー法で「特定個人情報」と規定され、扱いに不備があった際の罰則は、個人情報保護法の罰則より厳しいものとなる。重い法定刑には「4年以下の懲役あるいは200万円以下の罰金、あるいは併科」がある。
従業員が違反行為を犯したら、その行為者だけでなく、法人にも罰則が科せられる。その点をふまえ、マイナンバーの適正かつ安全に取り扱うのための「安全管理措置」を講じることが不可欠になる。
A 「技術的安全管理措置」を参考にし、セキュリティ対策に万全を期す
マイナンバー法では個人番号関係事務の処理に必要な範囲に限って、個人情報を含む「特定個人情報ファイル」の取り扱いが認められている。逆にいえば、それ以外の利用は厳しく制限されており、利用範囲外、例えばマイナンバーを社員番号として使ってしまったり、営業管理のために流用したりすることなどは一切禁じられている。あわせて、収集から廃棄までの厳格な管理も企業へ明確に求めている。
違反時に企業が受ける被害は、単なる罰則にとどまらない。新制度のマイナンバーに対する世間の関心は、今後さらに高まるはず。そのため、違反企業は社名も含め各種報道で大々的に報じられると予想される。会社としての信頼が大きく毀損される可能性が高いわけだ。
その対応のキモとなる「安全管理措置」は、
の4つに大別される。このうち情シス担当者の実務として深く関わりそうなのは「物理的安全管理処置」と「技術的安全管理措置」だろう。
技術的な安全管理措置とは何か。具体的に求められているのは次の4点である。
これらはいずれも、従来からの情報セキュリティ対策に則ったものである。それを基本に、セキュリティの見直しと高度化が必要となる。マイナンバー法においては、これらの実施が十分でなかったので情報漏えい事件を起こしてしまう、いや、特定個人情報保護委員会が求める情報情報漏えい対策に関する問い合わせに迅速に対応できないだけでも「対応できていない」とみなされ、罰則が科される可能性がある。
2014年に発生したベネッセ事件を例に、昨今の情報漏えいの原因は、人的なミス以外に「内部犯行」が大きな割合を占める。IT部門としては、抑止・監視のためのシステム改修に加え、従業員を再教育するとともに、継続的な指導を行う必要もある。
企業がマイナンバーを収集し、管理する必要があるのは、従業員やその扶養家族のものだけに留まらない。
国税への法定資料の提出においてマイナンバー(や法人番号)を記載する必要がある、例えば一時的な報酬などを支払った個人(フリーランスや地主から、アンケートで謝礼をした人など)に対してもマイナンバーの通知を求め、適切に管理する必要がある。
その際、他人のなりすましを防ぐための確実な本人確認の作業も収集側の義務となる。全員に送付されるマイナンバーの「通知カード」しか所持していないのであれば、運転免許証など公的機関の発行した顔写真入りの身分証明書とともに確認を取る(一方、個人が役所への申請によって交付を受けられる顔写真とICチップ入りの「個人番号カード」を所持していれば、これのみでよい)。
このあたりの作業も、扱い件数の多さに比例して工数が増すことが予想される。
その手間を軽減するため、マイナンバー管理のためのアウトソースサービスも相次ぎ登場している。自社のみではとても無理、そんな企業はこのようなサービスを有効に活用するとよいだろう。ただ、そんな企業もアウトソースサービスに丸投げしてしまえばよい──わけでないことには大きな注意が必要だ。
企業は、マイナンバー関連業務のアウトソースにおいても、その委託先(その委託先の委託先も含めて)が適切かつ安全に管理、運用しているかを自社が監督する義務がある。漏えい事故が発生すれば、自社も罰則の対象になる。アウトソーシングサービスの選定も、マイナンバー法施行に対応した安全、確実な対応と対策手段を設けている事業者かを見極める必要がある。
A 関連事務の外部委託はもちろん可能。ただ、企業には委託先を適切に監督する義務があることに注意
マイナンバー関連事務の外部委託は、もちろん可能である。その実践には注意すべきポイントがいくつかある。
まず挙げられるのが、依頼元(自社)は委託先(サービス事業者)の監督義務を果たす必要があることだ。自社でマイナンバーを取り扱う場合と同様に、委託先で適切な安全管理措置が講じられているかを委託契約前に確認し、契約後も継続的に“必要かつ適切な”監督をし続けなくてはならない。
その委託先が業務を別の企業に再委託する場合は、より複雑だ。委託先は再委託先に対する“必要かつ適切な”監督義務が生じ、依頼元(自社)は委託先の“必要かつ適切な”監督に加え、再委託先の“間接的な”監督義務も果たす必要がある。
では、依頼元の委託先に対する必要かつ適切な監督とはどのようなものなのか。ガイドラインでは次の3つを挙げている。
このうち、「委託先の適切な選定」では具体的な確認事項として、委託先の設備や技術水準、従業員に対する監督/教育状況、経営環境などが挙げられている。これに則るならば、IT部門は自社が委託したマイナンバー情報がどのようなシステムで管理されているかまでチェックし、不備がある場合には改善を求める必要がある。それは、再委託先でも同様である。
ただし、近年ではクラウドで情報を管理するケースも増えている。万一、サーバが外国にあるならば、本来であれば現地に出向いてシステムを検証する必要がある。ただ、それに応じるクラウド事業者はいないであろう。クラウドベースでのマイナンバー管理のアウトソースサービスを展開する事業者は、たいていは国内データセンターを構えつつ、マイナンバー管理の安全管理処置を行っていることがほとんどと信じたいが、それを必要かつ適切に監督するのは自社である。
法定調書の書式がいまだ固まらないものも存在するなど、現時点、企業のマイナンバー対応における課題はいくつもあるのは事実だ。しかし、それ以外に準備、対策できる作業も多くある。試行錯誤を重ねながらの対応でもまだ間に合ううちに、できることから作業を進める地道な努力が情シスには強く求められている。
最後に、マイナンバー制度への適切な対応は、自社の事業リスクを軽減し、情報セキュリティ対策を強化する取り組みにもつながる。マイナンバー制度で今後計画される活用シーンを考えると、決して後ろ向きな対応ではない。マイナンバー対応で得た知見は、将来、自社のビジネスチャンスを生み出す“攻めの情シス”のための武器になる。そう信じて対策していきたい。
特集「情シスが率先して実施する「企業のマイナンバー対応」対策指南」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。
Copyright © ITmedia, Inc. All Rights Reserved.