マイナンバーの安全管理措置に関する具体的な運用方法

マイナンバーの安全管理措置に関する具体的な運用方法

マイナンバーの安全管理措置に関する具体的な運用方法

マイナンバーを取り扱う事業者は、漏えい防止のために安全管理措置を設け、正しく管理および利用することが求められています。国や地方公共団体における行政機関のみならず、民間事業者も特定個人情報関係事業者として適切な管理が求められます。

また個人情報保護法と異なり、取扱件数の制限によって法令遵守の義務が変わることがありません。マイナンバーを取り扱うすべての事業者に対して適切な安全管理措置を講じることが求められているのです(番号法第12条)。

それでは実際にどのような安全管理措置をとらなければならないのかを見ていきましょう。

マイナンバーの安全管理措置とは

具体的には次に列挙する各項目別に安全管理措置を講じる必要があります。

1.基本方針の策定
2.取扱規定等の策定
3.組織的安全管理措置
4.人的安全管理措置
5.物理的安全管理措置
6.技術的安全管理措置

1の基本方針の策定は、個人情報保護法施行時に策定したプライバシーポリシー(個人情報の取扱いに関する基本方針)を改正することで、事務作業の省略を見込むことができます。

個人情報保護法ではプライバシーポリシーを公表することが義務でしたが(個人情報保護法第18条第1項)マイナンバー法においては規定されていないため、個人情報保護法が適用されることとなり利用目的を明示しなければなりません。

2の取扱規定等に関しても個人情報保護に関する既存の規定に対して特定個人情報を付加える形式をとることも可能です。

3の組織的安全管理措置についてですが、システムログや利用実績として記録することによって実際の運用状況が取扱規定に基づいたものであることを目に見える形で残すことが可能となります。

中小規模事業者の場合、システムログを取らずに作業日報等によって取り扱った内容を記録する以外にも、あらかじめ作成したチェックシートに対して事務作業を行なう方法によって記録を保存するという安全管理措置を講じることができます。

4の人的安全管理措置は、事務取扱担当者が特定個人情報を適切に取り扱えるように監督や教育を行ないます。

これらの中でもとりわけ重要になってくるのが5の物理的安全管理措置と6の技術的安全管理措置です。

マイナンバー事業者の対応例
(出典:マイナンバー 社会保障・税番号制度が始まります!中小企業のみなさんへ(入門編)pdf|内閣府

物理的安全管理措置を具体的に講じる方法

物理的安全管理措置では、

・マイナンバーを管理する区域を明確にし、入退室管理や持ち込める機器類の制限をかける
・マイナンバーが記載されている書類は施錠できる書庫等に保管する
・マイナンバーを管理しているデータベースサーバーなどの情報システム機器は、セキュリティワイヤーなどで固定する

といったことが考えられます。

管理区域で作業するために必要なものは透明の袋を使用するなどして、持ち出すことに対して精神的なプレッシャーをかけることで犯罪の抑止効果を期待することができます。

管理区域を厳格に設定できない場合は、壁側にディスプレイを配置したりパーティションを設置したりするなどして、容易に閲覧できない状況を作ることが重要です。

技術的安全管理措置を具体的に講じる方法

技術的安全管理措置として、

・ユーザーアカウント制御によるアクセス制御
・外部からの不正アクセス防止
・情報漏えい防止

等が考えられます。

データベースにアクセスするために、ユーザーIDとパスワードの認証を必要とすることや、社員証ICカードの磁気を利用することなどによって識別する方法があります。

データによって特定個人情報を管理している場合、標的型メール攻撃によって狙われてしまうことが考えられます。不正アクセスや不正ソフトウェアによる攻撃からデータを保護するための仕組みとして、ネットワークを直ちに遮断できる方法を想定しておきます。

さらに特定個人情報ファイルを保存しているデータに対してパスワードを設定したり暗号化したりすることによってデータに鍵をかけることができます。

外部からの不正アクセス防止としてファイヤーウォールを導入するといったセキュリティ対策を講じる以外に、マイナンバー専用のクラウドサービスを導入するなどして物理的に保有せずして管理する方法も考えられます。

クラウドサービスを利用する場合において、クラウドサービス事業者は契約上の業務範囲でマイナンバーを含む電子データを取り扱わない限り、マイナンバー法の委託先には該当しません。この場合、委託先の監督義務が課されることにはなりませんが、クラウドサービス事業者は、クラウド上にあるデータについて適切な安全管理措置を果たすことに従事しなければなりません。

このように、適切な安全管理措置が講じられたクラウドサービスを利用すると、企業で対応すべきマイナンバーのセキュリティ対策の負担が軽くなります。

まとめ

個人情報保護法は利用する個人情報の件数が一定件数以下の小規模事業者の場合は、個人の権利利益を害する可能性が少ないだろうとの見込みから、個人情報保護法を遵守する義務がありませんでした。しかしマイナンバー法では事業規模の大小を問わず安全管理措置を講じなければなりません。

マイナンバー法における安全管理措置の内容はガイドラインに定められていることを参考にし、事業規模に合わせたものにすることが可能です。

photo by Yuri Samoilov



強固なセキュリティ対策を施したクラウド型マイナンバー管理システム

マイナンバー管理システム「マネーフォワード クラウドマイナンバー」

マイナンバーの収集・管理・破棄は、手元に番号を保管しないクラウド型のマイナンバー管理システム「マネーフォワード クラウドマイナンバー」を是非ご利用ください。

マイナンバー制度で企業が対応すべきこと
マイナンバーソリューション「マネーフォワード クラウドマイナンバー」の機能
マイナンバーのセキュリティ対策とは

Pocket