「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「収集方法別のメリット/デメリット」です。
2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。
本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。
パイプドビッツ総合研究所 政策創造塾 塾長/明治学院大学 学長特別補佐(戦略担当)。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。
法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。
大橋 前回に引き続き、「マイナンバーの収集」について整理していきたいと思います。
マイナンバーの収集では、対面や郵送、インターネットサービスの利用などが考えられますが、方法によって対応すべき安全管理措置が変わってきます。そこで、ガイドラインに沿った安全管理措置への対応も含めて、これらのメリットとデメリットを解説していただけますでしょうか
伊藤 まず「(1)対面」で行う場合ですが、書類を預かるケースと、会議室などで一人ずつ確認するケースが想定されます。
書類を預かる場合、通知カードのコピーを社内で保管することになりますので、書類の保管方法に安全管理対策を講じることになります。例えば、施錠できるキャビネットや金庫での保管があげられるでしょう。当然、誰でも触れることができる場所での保管は厳禁です。
一人ずつ番号を確認する場合は、その場でデータ化するのが前提と考えられます。PCなどの作業端末を特定した上で、セキュリティ対策を施すことが必要です。また、誰にでも見えるオープンスペースではなく、のぞき見などがされない場所で実施することが望ましいと言えるでしょう。
いずれにしても直接収集するパターンとなりますので、収集時の漏えいリスクは低いと言えます。
一方で、複数の拠点に従業員がいる場合や個人支払先の収集方法は、やはり他の手段を検討する必要がありますね。
大橋 それでは「(2)郵送」で行う場合はどうでしょう。
伊藤 ガイドライン(特定個人情報の適正な取扱いに関するガイドライン 事業者編)の別添では、「容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる」とあります。まず送付した封書が途中で紛失することのないよう、追跡できる輸送サービスを選択することです。届いた書類を保管する際の安全管理対策は、対面のときと同じですね。
メリットとしては複数の拠点に従業員がいる場合や個人支払先の収集も同じ方法で行えることで、考慮すべき安全管理対策は郵送時と保管時に絞ることができます。一方、追跡可能な輸送手段となると、普通郵便というわけにはいきません。従業員数が多い企業では輸送コストが課題の1つとなります。
大橋 郵送収集を行う企業の中には、封筒も透けないタイプのものを専用に作成して万全を期すところもあります。ただ、コスト面での負担は重くなりそうですね。
それでは「(3)インターネットサービス」を使って収集する場合はどうでしょうか。
伊藤 インターネット経由で収集する場合は、ガイドライン上の技術的安全管理措置にある「情報漏えい等の防止の対策」や「外部からの不正アクセス等の防止措置」を取る必要があります。例えば、通信経路の暗号化やファイアウォールなどの導入がガイドライン上で例示されています。
この安全管理措置を正しく行えば、複数の拠点に従業員がいる場合や個人支払先も同じ方法で行うことができ、データ化作業などの業務負担面も軽くなるメリットがあります。一方、インターネット環境を持っていない収集対象者への対応策も別途検討する必要はあります。
さらにクラウド環境へ預けるサービスを利用する場合は、外部からの不正アクセスなどの防止措置はクラウドサービス事業者のセキュリティ対策に依存することとなります。選定時においてセキュリティチェックシートを使って対策を確認するなどの対応は行う方法が確実でしょう。
大橋 ありがとうございます。
まとめると、以下のような形になりますね。
方法 | 考慮すべき主な安全管理措置 | メリット | デメリット |
---|---|---|---|
(1)対面 | 収集および保管時における物理的安全管理措置 | 漏えいリスクが低い 低コスト |
本社以外に勤務する従業員や個人支払先の収集方法を検討する必要がある |
(2)郵送など | 輸送および保管時における物理的安全管理措 | 本社以外に勤務する従業員や個人支払先の収集も行いやすい 収集対象者の知識や環境などに関わらず収集できる |
輸送コストが高額になる可能性がある 輸送時に、容易に個人番号が判明しないような対策も必要になる |
(3)オンライン | 利用する端末の物理的・技術的安全管理措置および情報漏えい等の観点からの技術的安全管理措置 | 本社以外に勤務する従業員や個人支払先の収集も行いやすい 選定するクラウドサービスと従業員数によっては郵送より低コストで収集可能 |
インターネット環境を利用できない従業員や個人支払先の収集方法を検討する必要がある |
大橋 すでに収集方法を決めた企業の人事部の方に聞くと、従業員数があまり多くない企業では確実な対面の方法を選び、従業員数が多い、あるいは拠点が多い企業は郵送だけにするか、オンラインを中心としつつ郵送も選択できるような運用を選ばれているようです。
伊藤 どの収集方法が正しいという結論はありませんが、どの方法を選択したとしても、情報漏えいを防ぐための安全管理対策が必要です。
あとは、収集対象者の数、場所、年齢、IT環境などを考慮して、皆さんの会社にとって最もよい方法を選択していただければと思います。
大橋 ありがとうございました。
次回からは、各企業の担当者から相談が多い「保管」について、複数回に渡ってお伝えしていきたいと思います。
2015年8月6日、特定個人情報保護委員会によるガイドラインに関するQ&A集が更新されました。
標的型メール攻撃への対策(Q11-4)や中小規模事業者の特例(Q13-2)についてが更新されています。担当者は一読をお勧めします。
パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。
詳細やお申込は<こちら>から。
Copyright © ITmedia, Inc. All Rights Reserved.