東芝情報機器、「マイナンバー／情報漏えい対策サービス」をお手軽パック化

マイナンバーの対応で、企業は「具体的にどんな対策をとればよいか」に悩んでいる。東芝情報機器がオフィスに必要な情報漏えい対策計15の商品を分かりやすく体系化し「まだ／これから」の企業へ訴求する。

[岩城俊介，ITmedia]

　東芝情報機器は7月15日、企業のマイナンバー制度（2016年1月開始）への対応と本格運用に向け、オフィスに必要な情報漏えい対策計15の商品を分かりやすく体系化した「マイナンバー対応情報漏えい対策ソリューションパック」の提供を開始した。

　企業のマイナンバー対応には、

1. 基本方針の策定（全体の基本方針を決める）
2. 取扱規程などの策定（取り扱い方法を定める）
3. 組織的安全管理対策（組織体制を整備し、運用する）
4. 人的安全管理処置（事務取扱担当者の監督、教育を行う）
5. 物理的安全管理処置（電子媒体などの漏えい対策を行う）
6. 技術的安全管理処置（ファイル管理、漏えいなどを防止する）

　に分類される「安全管理措置」が必要になる。このうちシステムの構築やセキュリティ対策は（5）の物理的安全管理措置と（6）技術的安全措置が該当する。例えば「アクセス制御」「アクセスする者の識別と認証と記録」「外部からの不正アクセスなどの防止」「情報漏えいをしない、させない、防ぐ」ための対策を取る必要があり、情報システム担当者を含めた制度対策担当者は自社におけるマイナンバーの流れを把握し、情報漏えい対策、セキュリティ対策の両面での考察と構築が求められている。

自社におけるマイナンバーの流れを把握し、情報漏えい対策とセキュリティ対策の構築が求められる

　マイナンバー対応情報漏えい対策ソリューションパックは、マイナンバー取扱のガイドラインに沿い、PCメーカーならではのノウハウを生かしたHDD暗号化、スマートフォン接続でのコピーを禁止するソフト、自製BIOSを使った仮想デスクトップ環境のさらなるセキュリティ強化を可能にするシンクライアントソリューション、機密エリアの監視システム、不正アクセス対策、PC盗難紛失対策、データの一元管理など、物理的／技術的安全管理措置のために対策できる15のサービス／ソリューションを集約し、「何をするならばこれ」と分かりやすく体系化した。

　これからマイナンバー対応を検討する／対策が必要なのは分かっているが「何からどうすればよいか、分からない」と悩む企業に向け、パック化／体系化した分かりやすさから訴求していきたい考えだ。

　マイナンバー対応情報漏えい対策ソリューションパックに含まれる各サービスは以下の通り。

「マイナンバー対応情報漏えい対策ソリューションパック」の各サービスと対策内容

　マイナンバー制度対応のための対策ソリューションを紹介するセミナー「今、企業が押さえておくべき3つのポイント講座」も、東京・ベルサール東京日本橋で2015年7月28日に実施する。

マイナンバー制度とは

　マイナンバー制度は、2013年5月24日に成立した「マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）」によって、複数の機関に存在する個人の情報が「同一の人の情報である」ことの確認を行うための基盤である。2016年1月に開始する。

　国民一人ひとりに固有の12ケタの番号の「マイナンバー」を割り当て、それに基づき国民の生活や収入など各自の事情に応じた行政サービスの迅速化を図る目的で導入される。主に（当初は）、社会保障制度（年金、医療、介護、福祉、労働保険）、税制（国税、地方税）、災害対策に関する分野に使われる。2015年10月5日よりマイナンバーが付番された通知カードが国民一人ひとりに届き、個々の申請手続きによって個人番号カードが交付される。

　事務を担当する機関は行政機関や自治体などだが、社会保障や税に関する届出に必要な従業員のマイナンバー収集や以後の管理は個々の民間企業、ないしその委託先が担う。例えば、税分野では、税務当局へ申告する各企業が番号の収集と管理を行い、給与所得の源泉徴収票などさまざまな帳票へ記載する対応が必要となる。基本的には、すべての民間企業や団体が当てはまるものとなる。

　マイナンバーを含めた個人情報は「特定個人情報」と定義され、取り扱いが厳格に規定される。これまでの個人情報保護法では対象外（5000件以下）の事業者であっても、それを1件でも取り扱うならばマイナンバー法における「個人番号関係事務実施者」となり、規制の対象になる。罰則も個人情報保護法より種類が多く、法定刑も重くなっている。一例として、正当な理由なく業務で取り扱う特定個人情報を提供した場合「4年以下の懲役または200万円以下の罰金」が科せられることがある。

　マイナンバーの取り扱いにおいて民間企業は「必要な範囲を超えて扱わない」「情報漏えいしないよう安全に管理する」「取り扱う従業者を教育、監督する」「委託先を監督する」などの義務や責務を負う。具体的にはマイナンバー制度の開始までに、マイナンバーの収集において厳格な本人確認を行うシステム、情報漏えい防止のための安全管理処置を講じること、そのための社内ITシステム改修やポリシーの制定、改訂を行っていく必要がある。データ保護の方法については、例えば「データの暗号化」や「パスワード保護」、そして「暗号鍵やパスワードの適切な管理」を行うようガイドラインで示されている。

　マイナンバー関連業務をアウトソースするにも、その委託先（その委託先の委託先も含めて）が適切かつ安全に管理、運用しているかを自社が監督する義務がある。漏えい事故が発生すれば、自社も罰則の対象になる。アウトソーシングサービスの選定も、マイナンバー法施行に対応した安全、確実な対応と対策手段を設けている事業者かを見極める必要がある。

• →情シスが率先して実施する「企業のマイナンバー対応」対策指南