本日、10月5日時点の住民票に記載されている住民宛に10月中旬~11月にかけてマイナンバーが簡易書留で順次送られてきます。個人情報保護法では、5,000件以上の個人情報を管理する事業者が対象でしたがマイナンバー(個人番号)を含む特定個人情報の安全管理措置は、中小企業はもちろん、すべての事業者が対象となります。(人を雇用している個人事業主も対象です)
●そもそもマイナンバー対策ってなに?
中小企業がマイナンバーを運用するには、おもに2つの対策が必要です。1つめはマイナンバーを運用する事務業務の体制づくり、2つ目はマイナンバーを含めた特定個人情報を安全に管理する体制づくり。
マイナンバー運用の注意すべきポイント
1.マイナンバーの取得
・取得の際にはあらかじめ利用目的を特定して通知又は公表することが必要
・なりすまし防止のためにマイナンバーの確認と身元の確認を厳格に行う
2.マイナンバーの利用と提供
・社員番号や顧客管理番号としての利用は対象者の同意があってもできない
・法律で認められた税と社会保障の手続以外の目的での利用は禁止
・雇用契約などの継続的な関係があるといった場合だけ保管が認められる
・必要がなくなったら復元できない状態で廃棄又は削除しなければいけない
・紙などで帳簿等を管理している場合は鍵付きの棚や引き出しに保管
・データで管理する場合は、盗難や漏洩の防止対策を講じる
・特定個人情報の保護に関する基本理念を明確にする
・取扱う場合のマニュアルや業務フローなどの手順を示した文書を作成
・扱う事務の範囲を明確にして事務取扱担当者を特定する
マイナンバー対策は、ITシステムを導入しなくては実現できないわけではありません。上記のような、かかる手間を鑑みるとICTで対応した方がよいというだけで、マイナンバー対策のために大層なコンピューターシステムを導入しなければいけないということはないのです。
●最良の対策はマイナンバーを持たない
下の図は、マイナンバーを含む特定個人情報を安全に管理するために必要なセキュリティ対策をまとめたものです。
マイナンバーで必要なセキュリティ対策 |
このようにマイナンバーの運用管理は、ICTで行う方が効率的ですが、安全なシステムを構築するのは、容易ではありません。過去に個人情報保護を対象とした情報漏えい対策をしっかり行っている中小企業以外では、人的にもコスト的にも満足な対応はできないでしょう。
では、どうすればよいのか?
マイナンバー運用を電子データで行う前提の場合、マイナンバーをパソコンやデータベースといった社内のIT設備で保管しなければよいのです。
マイナンバーの収集から保管、利用、破棄までクラウド上で行えるサービスがいくつか存在しています。これらのサービスを活用すれば、最初の収集段階からオンラインで行えるので、社内設備にデータを保管する必要がありません。マイナンバーの安全管理措置の大半をクラウドサービスが代行してくれます。
マイナンバーのクラウドサービス例 |
このようなクラウドサービスを利用すれば、企業側のマイナンバーに関するセキュリティ管理は、クラウドサービスへのアクセス管理だけになります。
クラウドサービスへの接続アカウント情報(ID、パスワード)を、ハッカーや内部犯行者に盗まれないように対策すればよいのです。
●ハッカーからの攻撃を防ぐにはUTMが最適
マイナンバーの管理は、クラウドサービスに任せることができるので、後はアカウント情報への不正アクセスや職場のパソコン乗っ取りといったハッカーからの攻撃を防ぐシステムを構築すれば、中小企業のマイナンバー対策は、とりあえず完了です。
すでに周知だと思いたいのですが、アンチウィルスソフトやファイアウォールだけでは、不正アクセスやパソコン乗っ取りは防げません。ほぼ完璧を期すなら統合脅威管理を実施するのが、結果的には最もリーズナブルな対策です。
UTM:WatchGuardの構成 |
統合脅威管理(UTM)の関しては、別の機会に詳しく紹介させていただきます。