第4回 マイナンバー収集で考慮すべき安全管理措置のポイント：伊藤塾長の「実践マイナンバー 早わかり3分講座（緊急編）」

「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「収集時に考慮すべき安全管理措置のポイント」です。

[伊藤健二＆大橋恵子（パイプドビッツ），ITmedia]

この連載は……

　2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

　本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。

塾長：伊藤健二（パイプドビッツ総合研究所 政策創造塾塾長）

パイプドビッツ総合研究所 政策創造塾 塾長／明治学院大学 学長特別補佐（戦略担当）。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。

進行と解説：大橋恵子（パイプドビッツ 経営ソリューション事業部長）

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。

大橋　今回からは2回に渡り、もっとも喫緊で各企業の担当者を悩ませている「マイナンバーの収集」について整理していきます。

　ガイドライン（特定個人情報の適正な取扱いに関するガイドライン 事業者編）の別添において組織的、人的、物理的、技術的に分類した安全管理措置が記載されています。しかし、セキュリティ対策まで検討している企業は、全体の2割にも満たないという調査レポートも出ています（参考：日経BPコンサルティング「企業・組織におけるマイナンバー対応に関する実態調査」より）。

　まずはセキュリティの観点から、収集時における安全管理措置のポイントはどこになりますでしょう。

伊藤　ガイドラインによると、とにかく企業においては「収集したマイナンバーを含む特定個人情報を漏えいしない体制を構築する」ことが求められています。その対策は、収集する時点から求められています。

　収集方法によって考慮すべきポイントも変わってきますので、今回は郵送、オンライン、そして委託する場合の3手段を考えていきましょう。

　なお対面で収集する場合は、収集というより保管の部分での安全管理措置が重要になりますので、次々回以降の保管手段の回で解説することにします。

大橋　では、まず郵送の手段から見ていきましょう。

　ガイドラインでは、輸送の際には「追跡可能な手段で輸送すること」「封筒には封緘すること」が掲げられています。

伊藤　一言でいえば「誰にも見られることなく、確実に収集すること」になりますね。

　ガイドラインでは、封筒には封緘をすることも「誰にも見られていないことを確認する手段」でもあり、また「悪意のある人に対する牽制」にもなります。

大橋　郵送による収集方法を決定した企業によっては、社ロゴ入りなどの普段使用している封筒ではなく、透けない仕様の封筒をマイナンバー収集用に準備するところもあります。

伊藤　そして、企業にとってもコスト負担が大きいのが「追跡可能な手段」で収集しなければならないこと。追跡可能な輸送手段として、郵便局の書留や簡易書留、物流会社による輸送手段になるでしょう。

　ただ、物流会社で個人である従業員などからのマイナンバー輸送を取り扱うサービスを出しているところはまだないようです（2015年8月現在）。このあたりは、収集が可能となる2015年10月までもう少し注視する方がよさそうですね。

大橋　ではオンラインで収集する場合はどうでしょう。暗号化通信はもちろんですが、クラウドサービスを利用する場合などは、物理面に加えて技術面での安全管理措置も重要になってきますよね。

伊藤　まず暗号化通信をすることが重要です。先日、とあるマイナンバーセミナーで「メールで収集してもよいか？」との質問がありました。eメールは暗号化通信ではないので、セキュリティ対策としては厳しいでしょう。

　クラウドサービスを利用する方法は、通常、暗号化通信が確保されていると想定しますので大丈夫だと思います。できればクラウドサービスで実績のある企業のサービスを使った方が技術水準の観点で安全といえるでしょう。

大橋　最後に、収集代行のサービスを利用する場合はどうでしょう。

伊藤　収集代行サービスを使う場合、収集代行会社がマイナンバーの輸送からデータ化までの作業を一括して行ってくれるので、セキュリティに関する安全管理措置は収集代行会社に委ねられます。

　したがって、委託する企業は収集代行会社の選定が重要となります。万が一、収集代行会社が情報漏えいを起こした場合、委託した企業にも責任がかかります。委託先選定時にはチェックシートを使って、委託先となる収集代行会社の設備や技術水準、従業員への教育、経営環境などを確認しましょう。

大橋　ありがとうございました。最後の委託先についいては後日の回でも詳細を解説する予定です。

　次回は「収集方法の違いによるメリットとデメリット」をお届けします。

今回のおさらい

• 郵送による収集時は、追跡可能な方法で確実に収集できる体制を作る
• オンラインによる収集時は、暗号化通信により収集できる仕組みを作る
• 収集代行を使う場合は委託先となる収集代行会社の選定が重要

＜Information＞マイナンバーセミナーのご案内

　パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

　詳細やお申込は＜こちら＞から。