「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「安全管理措置とは、何をするのか:基礎編」です。
2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。
本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。
パイプドビッツ総合研究所 政策創造塾 塾長/明治学院大学 学長特別補佐(戦略担当)。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。
法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。
大橋 今回からは、企業のマイナンバー担当者を最も悩ませる業務の1つ、「保管」方法を整理していきたいと思います。
マイナンバーの保管方法としては「(1)書類」「(2)Excelなどのデータ」「(3)システム内に保管するデータ」など、様々な形で存在すると思われます。しかし、どのような保管方法であっても「情報漏えいをしない」ようにすることが最重要です。まずは各方法において考慮すべきポイントを解説していきましょう。
伊藤 では解説に入る前に、保管に関するガイドラインに記載されている原則がこちらです。
伊藤 まず「(1)書類」で保管する際に考慮すべきポイントです。ガイドラインで例示されている通り、施錠できるキャビネットや書庫などに保管して、マイナンバー事務取扱担当者だけが、書類を利用できるようにすることが重要です。
ポイントは、「事務取扱担当者だけ」というところです。したがって、事務取扱担当者だけが利用できるキャビネットを別途用意する方がいいでしょう。
大橋 事務取扱担当者以外の方も利用できてしまうキャビネットでは、たとえ施錠できるキャビネットであっても、“それ以外の人”がマイナンバーを閲覧できる状態になることが問題ということですね。こちら、キャビネットではなく金庫を用意するという企業もあるようです。
伊藤 次に「(2)Excelなどのデータ」で保管する場合です。こちらはCSVデータなども含みます。
このようなファイルについては、暗号化ソフトを別途導入して確実に暗号化して保管する、あるいは最低限の施策としてパスワードをかけて保管することが重要です。また、たとえ暗号化やパスワードをかけて保管することに加えて、保管(保存)する端末のセキュリティについても深く考慮する必要があります。
大橋 端末のセキュリティとなると非常に多岐に渡りますが、基本中の基本として、PCならばメーカーのサポート範囲内のOSを利用し、セキュリティ対策ソフトも常に最新のバージョンへ自動更新しておくことが最低限必要ですね。
伊藤 見落としがちなのが社内ネットワークのファイルサーバなどに置く場合です。社員の誰もが見られるようなネットワークフォルダでは絶対にいけません。ファイアウォールなどのセキュリティ対策ソリューションとともに外部の攻撃から守る措置も改めて重要です。
大橋 では、「(3)マイナンバー管理に専用システムを利用する」場合はどうでしょうか。
伊藤 まず、すでに利用している人事給与ソフトなどのバージョンアップでマイナンバー対応する場合です。パッケージソフトタイプであればPCに対するセキュリティ対策、サーバ型であればサーバに対するセキュリティ対策が必要なのは当然です。
クラウド型サービスを利用する場合も多いと思います。こちらは、SSL通信による通信経路やデータ保存環境が暗号化されているかはもちろんのこと、当該のサービスが利用するデータセンターの選定基準やセキュリティ対策についても確認すべきでしょう。
いずれの方法でも、マイナンバーを含む情報を暗号化して保管しておくものを選ぶことが前提です。
大橋 クラウド型サービスの場合は、サーバが自社管理ではない分、選定時にデータセンターやセキュリティ対策を適切に取っているかを確認することが重要ですね。利用規約などで記載しているならば、その中で確認できますが、記載がない場合はセキュリティチェックシートを使って確認する方法もあります。セキュリティチェックシートとはどんな内容か、こちらは別の回で、じっくり解説する予定です。
伊藤 また、ガイドラインではマイナンバーを取り扱う機器を特定することが望まれています。したがって、マイナンバーを取り扱う機器を特定した上で、ログイン時のパスワード制御はもちろん、盗難防止ロックや未使用時に施錠できるキャビネットで保管するといった対応をしておくのがよいと言えますね。
大橋 まとめると以下のような形になります。
なおセキュリティ対策の詳細については、第8回までの保管の基礎を説明してから、専門家の方を招いて改めて解説していく予定です。
伊藤 実際の運用では、保管方法が1種類だけという企業は少ないと思います。それぞれのデータに対する安全管理措置の対策をとっていただきたいと思います。また、自社でデータをできるだけ持ちたくない企業はクラウドサービスを選択することになると思います。そのサービスのセキュリティに対する確認はしてください。
大橋 ありがとうございました。次回は、今回の保管方法をふまえて「アクセス制御について」を解説していきたいと思います。
番号通知カードを、住民票の住所地でなく、現在の居所に送付を希望する人の手続期限は2015年9月25日(金)となっています。まだ従業員などに案内できていない企業の担当者は、従業員の方へ案内を行うことを推奨します。
パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。
詳細やお申込は<こちら>から。
Copyright © ITmedia, Inc. All Rights Reserved.