2016年1月より施行され、実際の利用が始まる“マイナンバー”制度。前回はマイナンバーとはそもそも何なのかをお伝えしたが、今回は企業内でマイナンバーを扱う場合、誰が何を取り組まないといけないのか、一般企業を例にお伝えする。なお、ネットワークセキュリティーなどのソリューション提供ベンチャー企業スターティアのネットワークソリューション事業部の鈴木健太統括マネージャーの協力を今回もいただいた。
会社では誰が取り扱うものなのか?
まず企業にとっては、従業員を1名でも雇用していれば、マイナンバー管理の責務が発生する。マイナンバーは全事業者が対象になる。街の個人商店など個人事業主もセキュリティーの整備対象に含まれる。
フリー写真素材ぱくたそ |
まず2016年1月の施行時は税と社会保障、災害対策に使われるため、一般企業の場合、給与所得の源泉徴収票の作成、社会保険料の支払い、事務手続きなどにマイナンバーの記載が必要となるため、取り扱うのは人事部、総務部、経理部のケースが多い。従業員、役員、パート、アルバイト、また取引先(個人、法人番号)のマイナンバー収集・管理が必要になる。
ITソリューションやシステムを利用する場合、情報システムの管理者も、取扱いの担当者になるケースもあるだろう。中小企業では専任または専門担当者がいないケースがあり、対応していくにはハードルが高い面もあると考えられる。
対策のひとつは相談できる通信機器やシステムのソリューションを提供するNIer(ネットワークインテグレーター)や、SIer(システムインテグレーター)を持つことだ。よく医者にたとえられ、企業の生命線と呼ばれるインフラを見てくれる。自分が相談できる主治医を見つけるのが必要というのに近い。
もうひとつは、マイナンバーの対応は誰かに任せるというのでは難しいため、会社全体で取り組みをすることが重要。特に負荷や責任が重くのしかかるのは、人事や総務、経理部門になるため、社員ひとりひとりが意識を高めることが重要だ。
社内でのガイドライン策定が必要
マイナンバーを取り扱う場合、紙でもデータでも、まず社内で担当者を決め、不特定多数がマイナンバーを扱わないようにする。そして扱う際は専任担当者以外に見られないよう、部署内でパーテーションなり、個室にするなど囲い、紙なら鍵付きの棚を、データならファイルにアクセス制限を掛けなければならない。
内閣府のサイトでも、ガイドライン作成に必要な情報を事業者別で設置している |
また全従業員からマイナンバーを集める際にも、何のために番号を集めているのかわかるよう承諾書をかわす必要がある。マイナンバーをメールで送った場合、送信履歴に残るため、履歴も削除しないといけない。
個人情報の取り扱い同様に社内でルール化し、収集までのスケジュール作成、利用目的の確定などガイドラインを社内向けに作成する必要が出てくるだろう。
セキュリティー対策は?
故意による不正行為に対しては最大4年の刑罰が科せられるなど、重い実刑のあるマイナンバー法。セキュリティー対策はしっかりとやっておく必要がある。
アクセス制限はもちろん、中小企業でなかなか実施されていないのがアクセスログの収集だ。大企業では一般的だが、中小企業はファイヤーウォールを設け、誰がいつアクセスしたかまでは取っているが、Webサーバの動作記録であるアクセスログを取っていないケースも多いという。アクセスログを取っていることを周知することで、社員からの情報漏えいを抑制できるという効果もある。
なお、内部犯罪、不正行為、不正アクセスなどでマイナンバーが漏れた場合、漏れた際に出所がどこかを法務大臣に報告するガイドラインがある。原因の根本を突き詰め、対策を講じていなかった場合は刑罰も重くなる。日々のログを取っておくことで、おかしな動きに気づき、情報漏えいが起きる前に阻止することにもつながる。
ほかにも対策としては、マイナンバーにアクセスできる端末自体を限定する、ファイヤーウォール、不正アクセス防止など。もちろんパスワードの暗号化、物理的にも入退室の管理などは行なうべき。ファイルサーバーに対して、個人の端末で経理処理をしているところは中小企業でも多い。暗号化、ウィルスチェックをして、徹底的に管理をしたい。
スターティアはマイナンバー対策のセキュリティー機能がセットになった中小企業向けファイルサーバーを販売。同社ではこのほかマイナンバーを安全に収集・管理するサービスの提供も別途開発している。 |
■関連サイト
マイナンバー(政府広報オンライン)
フリー写真素材ぱくたそ
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります