経理の基礎知識2015年06月19日（金）

税理士が語るマイナンバーのセキュリティ対策に必要な6つのこと

経営ハッカー編集部

シェアツイートブックマーク後で読む

mynumber-security

情報漏えいが起こる前に

今年の10月に番号が通知され、来年の平成28年1月1日から開始されるマイナンバー制度、その情報を取り扱う企業においても厳しい管理が求められます。 

以前から、マイナンバーと同じレベルの重要な個人情報を取り扱っている企業も多いかと思いますが、今回、そこに個人番号（マイナンバー）が追加となり、より一層その取り扱いが注目されてきています。

あるデータによると、情報漏えいの8割以上が内部からの流出だそうです。情報漏えいが起こると、事後対応は当然のこと、企業イメージのダウンにつながるため、今回のマイナンバー制度の開始を機に個人情報の取り扱いを見直す必要があります。

〈参考〉 今さら聞けないマイナンバー制度（番号制度）とは？重要ポイントまとめ

1) マイナンバーが流出した際の罰則

今回導入されるマイナンバー制度の罰則の中でも一番厳しいのが、故意に漏えいした場合。この場合は4年以下の懲役もしくは200万円以下の罰金が科されます。

また、管理監督責任体制に問題があった場合には、特定個人情報保護委員会が業務改善に関する勧告や命令を行います。 この命令に従わないと、情報漏えいが起こっていなくても、2年以下の懲役もしくは50万円以下の罰金が科されます。 こういったことが起こらないよう、今からセキュリティ対策を行っておく必要があります。

2) マイナンバーのセキュリティ対策の前に行う3つの項目

特定個人情報（個人番号を含む個人情報）の取り扱いに当たって、セキュリティ対策が必要ですが、その前に最低限決めておくべき3つの項目があります。

1. 事務に必要な特定個人情報を明確にする

会社として、どの業務（給与の源泉徴収事務、健康保険・厚生年金保険の届出事務など）に対し特定個人情報を使用するのか明確にします。

2. 取扱担当者の決定

特定個人情報等の取扱担当者を決定し、担当者には特定個人情報等の取扱いを周知徹底・定期的な研修などの適切な教育を行います。

3. 基本方針の策定・取扱い規定等の策定

会社として特定個人情報等の取り扱いに関する方針や範囲を明確にした方針書を策定し、実際の取扱い方法についても取扱い規定を定めておきます。

その中で、 例えば、次の場合にはどういった方法で行うかを明確にしておく必要があります。・従業員から提出された書類の回収方法・印刷やコピーの禁止などのルール設定  ・源泉徴収票等の控えで保存期間を過ぎたものの廃棄の方法・紙媒体での保存であれば、鍵付きの金庫へ保管し、貸し出しや返却の記録の方法

3) マイナンバーのセキュリティ対策の6つのポイント

セキュリティ対策を考える上で、企業として押さえておかなければいけない6つのポイントがあります。

1. マイナンバーへのアクセスログの保存・検証

アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。 また、ＵＳＢなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

2. アクセス制御

特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。

3. ファイアウォール等を設置

外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。

4. 各PCのウイルス対策・アップデート

各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。

5. パソコンの外部持ち出しにも注意

特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。

6. 情報の取り扱う区域を決めて隔離する

オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。 またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。   〈参考〉特定個人情報の適正な取扱いに関するガイドライン（特定個人情報保護委員会）