第7回 マイナンバー管理のポイントは「アクセス制御」にあり伊藤塾長の「実践マイナンバー 早わかり3分講座(緊急編)」

「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「アクセス制御」です。

» 2015年09月29日 08時00分 公開

この連載は……

 2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

 本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。


塾長:伊藤健二(パイプドビッツ総合研究所 政策創造塾塾長)

パイプドビッツ総合研究所 政策創造塾 塾長/明治学院大学 学長特別補佐(戦略担当)。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。


進行と解説:大橋恵子(パイプドビッツ 経営ソリューション事業部長)

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。



大橋 前回はマイナンバーの保管時における安全管理措置について整理しました。管理編2回めの今回は「アクセス制御」について整理していきたいと思います。

 まずは、アクセス制御とは何か。概要から解説していただけますでしょうか。


伊藤 まずはガイドラインに記載されている原則を押さえましょう。


photo 図1 マイナンバー管理とアクセス制御に関する原則(特定個人情報の適正な取扱いに関するガイドライン 事業者編より抜粋

伊藤 「アクセス制御」という単語がガイドラインに記載があるのは「技術的安全管理措置」の項目です。その前提として、「組織としてマイナンバーにアクセスできる人を限定する」があります。

 したがってアクセス制御とは、システムの導入に限らず、書類であってもアクセスできる人を限定して管理していく必要があるということです。


大橋 マイナンバーを利用するPCなどの端末をはじめ、保管するデータや書類すべてにアクセス制御を考慮して運用する必要があるということですね。


伊藤 その通りです。

 例えば書類については、第6回めで「事務取扱担当者だけ」が書類を利用できるような施錠付きキャビネットを用意する方がいいと説明しました。これはアクセス制御の観点からも重要なポイントです。


大橋 それではマイナンバーをデータで保管、利用する場合はどうでしょうか。

 実際、現在使用する人事給与システムなどを改修、またはバージョンアップしてマイナンバー対応とする企業も多いようです。気を付けるポイントはありますか?


伊藤 人事給与システムにアクセスできる担当者が全員「事務取扱担当者」であれば問題ありませんが、おそらくそうではないでしょう。マイナンバー事務取扱担当者以外の方もそのシステムを業務で利用する場合は、例えば「給与システムのみ利用できる担当者」と「給与システム+マイナンバーを利用できる担当者」を権限レベルで明確に切り分ける必要があります。

 つまり、マイナンバーは事務取扱担当者として権限を持つ人のみがアクセスできるようにしなければなりません。


大橋 第2回め「収集するのは、誰のマイナンバー?」では、その収集対象について説明しました。従業員とその扶養家族だけでなく、税理士や不動産賃料などの支払い対象であるオーナー、出版・メディア業などでは著者・イラストレーター・フォトグラファーなど、個人事業主への支払いがあるならば、その方らのマイナンバーも収集する必要があります。

 アクセス制御の観点で、この場合はどうでしょうか?


伊藤 従業員とその扶養家族のマイナンバーの事務取扱担当者が、個人支払先のマイナンバーの事務取扱者と同じであれば問題はありません。しかし、下記のような場合はより厳密にアクセス権限を付与した上で管理していく必要があります。


photo 厳密なアクセス権限を付与した上で管理する必要がある場合と、その業務担当部門

伊藤 具体的には、人事部は従業員とその扶養家族分のマイナンバーのみ、経理部は個人支払先のマイナンバーのみにアクセスできるように、データを管理する必要があります。


大橋 従業員と個人支払先とで、別々のシステムでデータを管理しているならばシステム個別にアクセス制御をすればよいのですが、1つのシステムでデータを管理する場合は少し複雑になります。例えば、「人事部は従業員とその扶養家族のみ」「経理部は個人支払先のみ」にアクセス制御が可能なシステムが必要ということになりますね。


伊藤 個人支払先が10人にも満たないような場合ならば、書類と台帳管理で権限を分けて保管・管理をすれば問題ないと思います。しかし、業種・業界によっては従業員数より個人支払先が多い場合もあることでしょう。そのような企業ではシステム管理をすることが多いと思いますので、アクセス権限を細かく制御できるシステムを選定するほうがよいでしょう。


大橋 ありがとうございました。次回は「実際の利用シーンにおける情報漏えい防止対策」について解説していきたいと思います。


今回のおさらい

photo
  • マイナンバーにアクセスできる担当者を限定しましょう
  • 担当者ごとにアクセスできる対象者が異なる場合は、対象ごとに権限設定を行いましょう


<Information>マイナンバーセミナーのご案内

photo

 パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

 詳細やお申込は<こちら>から。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ