- 更新日 : 2025年11月4日
マイナンバーのアクセス管理とは?法律で定められた義務を解説
企業がマイナンバー(個人番号)を取り扱う上で、アクセス管理は情報漏洩を防ぐための基本的な対策の一つです。特に、「誰が、いつ」情報にアクセスしたかを正確に記録・管理することは、安全な運用体制の構築に必要となります。 しかし、担当者ごとの権限設定やシステムでのアクセス制限をどのように行うべきか、実務上の課題となることも少なくありません。
本記事では、国のガイドラインに基づき、企業に求められるアクセス管理の具体的な方法と運用のポイントを解説します。
目次
マイナンバーのアクセス管理はなぜ必須なのか?
不正アクセスや内部からの情報漏洩を防止し、法律で定められた企業の「安全管理措置」義務を果たすために必要です。
マイナンバーのアクセス管理は、特定個人情報保護委員会が定めるガイドラインでも、安全管理措置の重要な項目として位置づけられています。
その目的は、主に以下の3点です。
- 情報漏洩の防止:
権限のない従業員や外部の攻撃者が、マイナンバー情報にアクセスできないようにします。 - 不正利用の抑止と早期発見:
「誰が」「いつ」「何をしたか」を記録(アクセスログ)することで、不正な持ち出しなどを抑止します。万が一問題が発生した際には、記録から原因を追跡できます。 - 法的義務の遵守:
マイナンバー法は事業者に厳格な管理体制を求めており、アクセス管理はその責務を果たすための具体的な手段となります。
これらの目的が達成されない場合、法的な罰則の対象となるほか、企業の社会的信用に影響を与える可能性があります。
参照:特定個人情報の適正な取扱いに関するガイドライン(事業者編)|個人情報保護委員会
アクセス管理の対象となるマイナンバー記載書類とは?
入社から退職、外部への支払いに至るまで、従業員や取引先のマイナンバーが記載されたすべての書類が対象です。
アクセス管理の対象となるのは、マイナンバーを含む個人情報である「特定個人情報」が記載された、あらゆる紙媒体や電子データです。 日常業務では、主に以下のような書類でマイナンバーを取り扱います。
- 雇用保険被保険者資格喪失届
- 雇用保険被保険者離職票
- 報酬、料金、契約金及び賞金の支払調書
- 不動産の使用料等の支払調書
これらの書類を紙媒体や電子データで扱うすべてのプロセスで、アクセス管理が求められます。
国のガイドラインが示すアクセス管理の対策とは?
国のガイドラインでは、マイナンバーへのアクセスを「組織的」「人的」「物理的」「技術的」の4つの異なる側面から管理・制限し、多層的な防御を構築するよう定めています。
これら4つの安全管理措置は、どれか一つだけを行えば良いというものではなく、すべてを連携させて実施することで、初めて実効性のあるアクセス管理が実現します。
組織的安全管理措置:ルールと体制で管理する
組織としてのルールを定め、責任体制を明確にすることで、アクセス管理の土台を築きます。
| 主な対策内容 | 具体例 |
|---|---|
| 取扱規程の策定 | マイナンバーのアクセス権限に関する付与・変更・削除の手順を定める |
| 担当者の明確化 | マイナンバーを取り扱う「事務取扱担当者」とその責任範囲を限定する |
| 責任者の設置 | 規程の遵守状況を確認し、監督する責任者を任命する |
| 報告連絡体制の整備 | 漏えいや不正アクセスを発見した場合の報告ルートを確立する |
人的安全管理措置:人と教育で管理する
従業員に対する教育や契約を通じて、ルール遵守の意識を高め、人為的なミスや不正を防ぎます。
| 主な対策内容 | 具体例 |
|---|---|
| 従業員への教育・研修 | アクセス権限の重要性や、情報漏洩のリスクに関する研修を定期的に行う |
| 秘密保持契約の取得 | 従業員との間で、マイナンバーに関する秘密保持の誓約書を取り交わす |
| 適切な監督 | 事務取扱担当者が、アクセス権限の範囲を超えた操作をしていないか監督する |
物理的安全管理措置:場所とモノで管理する
マイナンバー情報が保存されている場所や機器への物理的なアクセスを制限します。
| 主な対策内容 | 具体例 |
|---|---|
| 取扱区域の限定 | マイナンバーを保管・処理する部屋を定め、権限のない者の入室を制限する |
| 機器・書類の管理 | マイナンバーが保存されたPCや書類は、施錠できるキャビネットや書庫に保管する |
| 盗難・紛失対策 | ノートPCなどを持ち出す際のルールを定め、セキュリティワイヤーで固定する |
技術的安全管理措置:システムで管理する
情報システム(IT)の機能を用いて、データそのものへのアクセスを技術的に制御・監視します。
| 主な対策内容 | 具体例 |
|---|---|
| アクセス制御 | マイナンバーが保存されたフォルダやデータベースへのアクセス権限を設定する |
| 識別と認証 | 担当者をユーザーIDとパスワードで識別し、本人しかアクセスできないようにする |
| アクセスログの記録 | 誰が、いつ、どのマイナンバーにアクセスしたかの履歴を記録・保存する |
| 不正アクセス対策 | ファイアウォールやセキュリティソフトを導入し、常に最新の状態に更新する |
| データの暗号化 | サーバー内のデータや、持ち出す際の電子データを暗号化し、漏洩時の被害を防ぐ |
マイナンバーへのアクセス権限の設定・運用方法は?
「業務上必要最小限」の原則に基づき、担当者の役割に応じて権限を付与し、人事異動などの際に定期的に見直すことが求められます。
アクセス権限の設定は、業務の効率性とセキュリティのバランスを考慮する必要があります。そのための3つの原則を紹介します。
最小権限の原則
従業員に付与するアクセス権限は、その人が担当する業務を遂行するために、本当に必要な範囲に限定するという考え方です。例えば、給与計算の担当者にはマイナンバーの閲覧権限を与えますが、営業担当者には一切の権限を与えない、といった設定がこれにあたります。
役割(ロール)に応じた権限設定
個々の従業員ごとではなく、「人事担当者」「経理担当者」といった役割(ロール)ごとに権限のテンプレートを作成し、それを各従業員に割り当てる方法が効率的かつ確実です。これにより、設定ミスを防ぎ、人事異動の際の権限変更もスムーズに行えます。
- 閲覧のみの権限:参照はできるが、変更や削除はできない。
- 編集・更新の権限:住所変更などに伴い、情報の更新ができる。
- 管理者権限:すべての操作が可能で、他の担当者の権限設定も行える。
原則3:権限の定期的な棚卸しと見直し
アクセス権限は一度設定したら終わりではありません。従業員の異動、昇進、退職など、状況の変化に応じて速やかに見直す必要があります。特に、退職した従業員のIDが削除されずに残っているケースは、重大なセキュリティリスクとなります。少なくとも年に1回は、すべての従業員のアクセス権限が適切であるかを確認する「棚卸し」を実施しましょう。
マイナンバーのアクセスログ管理で押さえるべきポイントは?
マイナンバー情報に対して「誰が」「いつ」「何をしたのか」を記録し、定期的に点検して不正の兆候を検知することが重要です。
アクセスログは、アクセス管理が正しく機能していることを裏付ける「証拠」としての役割を持ちます。国の研修資料でも、不正行為の抑止・けん制のために「システムの利用状況(ログ)を定期的に確認する」ことの重要性が示されています。
アクセスログで記録すべき項目
マイナンバーの安全性を確保するためには、以下のような操作ログを記録することが推奨されます。
- ログイン・ログアウト履歴:誰がシステムにアクセスしたか
- ファイル・データへのアクセス履歴:誰がどのマイナンバー情報を閲覧・参照したか
- 操作履歴:誰が情報を新規登録・変更・削除したか
- データ出力・印刷履歴:誰が情報を外部に持ち出そうとしたか
ログの定期的な確認と不正アクセスの検知
ログは記録して終わりではなく、定期的に内容を確認し、不審なアクセスがないかを点検することが重要です。特に以下のような動きが見られた場合は注意が必要です。
- 業務時間外や休日に行われたアクセス
- 退職済みの従業員IDによるアクセス
- 特定の担当者による大量のデータ閲覧や出力
こうした兆候を早期に発見できれば、情報漏洩を未然に防いだり、万一被害が出た場合でも最小限に食い止めたりすることが可能になります。
マイナンバーのアクセス管理は人事異動や退職時にこそ注意が必要
人事異動や退職に伴うアクセス権の削除・変更漏れは、情報漏洩に直結する極めて重大なセキュリティリスクです。
業務プロセスの変更が発生するタイミングは、アクセス管理において最も注意すべき局面といえるでしょう。
退職者のアカウント放置は絶対に避ける
退職した従業員のアカウントを放置することは、悪意のある第三者による不正ログインや、元従業員自身による不正な情報持ち出しの温床となります。国の研修資料でも、組織の離職者が在職中に使用していたアカウントを悪用し、内部情報を窃取する手口が指摘されています。 退職日をもって速やかにアカウントを無効化、または削除する運用ルールを徹底しなければなりません。
異動者の権限はゼロベースで見直す
従業員が部署を異動した際は、旧部署で保持していたアクセス権限を速やかに削除し、新部署で必要となる最小限の権限を新たに付与するプロセスが必要です。「とりあえず前の権限は残したまま」という運用は、不要な権限の蓄積を招き、内部不正のリスクを高めます。
引き継ぎ時の管理体制を明確にする
マイナンバー管理の担当者が交代する際は、後任者へのアクセス権限の付与だけでなく、物理的な書類や鍵の管理、データの保管場所、パスワードの申し送りなど、すべての管理項目を網羅した引き継ぎリストを作成し、責任者が確認する体制を整えましょう。
中小企業におけるアクセス管理の注意点と対策は?
担当者の兼任による権限の曖昧化や、セキュリティの低いExcelでの管理は、特に注意したいポイントです。対策としては、取扱規程をしっかり整備し、管理を自動化できる専用システムの活用を検討するのが有効です。
リソースが限られる中小企業では、大企業と同じレベルの管理体制を築くのが難しい場合もあるかもしれません。しかし、安全管理措置の重要性は、企業規模で変わるものではありません。
担当者が一人で、権限が集中・曖昧になる
人事・労務・経理などを一人の担当者が兼任している場合、その担当者にすべての権限が集中しがちです。これでは、作業のチェック機能が働かず、ミスや不正が見過ごされるリスクが高まります。可能であれば、マイナンバーを扱う担当者と、その作業を承認・監督する責任者を分けるなど、相互にチェックできる体制が望ましいでしょう。
Excel(エクセル)での不適切な管理
手軽さからExcelでマイナンバーを管理しているケースも見られますが、セキュリティ面では注意が必要です。Excelでは、「誰がどのセルの情報をコピーしたか」といった詳細なアクセスログを取得することが難しく、技術的安全管理措置の観点からは十分とはいえないでしょう。
対策:クラウド型の人事労務システムを活用する
近年では、中小企業でも導入しやすい安価なクラウド型の人事労務システムが数多く提供されています。これらのシステムは、マイナンバー管理に必要な高度なアクセス制御機能やログ管理機能が標準で搭載されています。
- 担当者ごとの細かい権限設定が可能
- 操作ログが自動で記録・保管される
- 法改正にも自動でアップデート対応
- 物理的なサーバー管理が不要
手作業での管理に限界を感じている、あるいはセキュリティに不安がある場合は、こうした専門システムの導入が最も確実で効率的な解決策となるでしょう。
適切なアクセス管理がマイナンバー漏洩リスクから会社を守る
マイナンバーのアクセス管理は、企業の法的義務を遵守し、社会的な信用を維持するための生命線です。その核心は、4つの安全管理措置を組み合わせ、「最小権限の原則」に基づいてアクセス権限を厳格に運用し、その操作をログで監視することにあります。Excelでの管理など、不適切な方法を続けていると、意図せず法令違反を犯し、重大なリスクを招きかねません。
この記事を参考に、自社のマイナンバー管理体制を今一度点検しましょう。担当者の役割と権限は明確か、アクセスログは適切に取得できているかを確認し、より安全な管理体制の構築を目指してください。
※ 掲載している情報は記事更新時点のものです。
人事労務の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
マイナンバーの安全管理措置とは?具体的な運用方法を解説
マイナンバーの取り扱いについては特に厳しい安全管理が求められています。マイナンバーにおける安全管理措置とは、マイナンバーとそれに関連付けて管理される住所や氏名などの特定個人情報の漏えいや消失の防止のために行う対策のことです。 それでは、実際…
詳しくみる銀行口座へマイナンバーが付番!その理由を分かりやすく解説
国によると、2018年から銀行口座への付番を始める予定です。マイナンバー導入の大きな目的の一つである正確な所得把握を実現には必要不可欠なもののため、先頃マイナンバー法が改正され、銀行口座への付番が決定しました。時期の前後はあるかもしれません…
詳しくみるマイナンバー制度と税金、変わる税金申告の様式をわかりやすく解説
マイナンバー制度の本格運用が2016年より始まりました。運用が始まり、それ以後に提出する「税金申告」の様式が変更になります。マイナンバーの記載欄が加わるだけなので、様式自体の大きな変更はありませんが、その数はかなりの数になりました。事前にき…
詳しくみるマイナンバーカードと通知カードの違い – 通知カードは廃止?
2015年からはじまった個人番号(マイナンバー)は、徐々に使用用途を広げています。2022年現在では通知カードの交付は廃止されており、代わりにマイナンバーカードの申請ができるようになっています。ここでは、通知カードとマイナンバーカードの違い…
詳しくみるマイナンバー制度で就業規則が変わる!担当者が知っておくべきこと
平成28年(2016年)からスタートしたマイナンバー制度。事業者はマイナンバーを社会保障や税などの各種手続きに使用するため、この制度についてよく理解しておかなくてはいけません。 ここではマイナンバー制度の導入に伴って、就業規則に追加するべき…
詳しくみるマイナンバーに関連する3つのカードを徹底解説!
通知カード (出典:通知カードについて|マイナンバーカード総合サイト) 「通知カード」とは何か? 「通知カード」とは平成27年(2015年)の10月から配布が開始されたマイナンバーを通知するためのカードです。 「通知カード」の記載内容 通知…
詳しくみる