2016年1月のマイナンバー制度の導入により、企業においては新たな管理業務が一つ増えることとなりました。また、漏洩の危険性も伴うため、管理業務自体も単純なものではありません。
今回は、企業におけるマイナンバー管理業務において、注意するべき安全管理措置についてまとめます。
マイナンバーの活用範囲
マイナンバーは、利用できる対象として現状では“行政手続きのみ”に限定されることになっていますが、実際には行政手続きと言っても社会保障や税等といった様々なものが含まれ、さらにそれらの利用は管轄の役所を超えて連携されることが予想されます。
また、企業などの民間事業者においても、従業員の年末調整を始めとする行政手続きの際にマイナンバーを活用することとなるのです。
つまり、特定の個人情報を扱う事業者だけではなく、一般の事業者においてもマイナンバー制度は広く活用されると言うことです。
マイナンバーは適切な管理が求められる
マイナンバーは、「国民一人一人に固有の番号を割り当てて、社会保障や、税等の諸手続を効率化する」ものであり、この導入によって、今までバラバラであった各行政機関の個人情報が連携して利用できるようになり、利便性の向上が期待されています。
しかしその反面、様々な個人情報を連携して利用するという事から、マイナンバー自体が高度に管理されるべき“セキュリティ情報”であることは明らかです。その為、管理すべき事業者に対して、マイナンバーを守るべき指針「安全管理措置」が明確に示されているのです。
マイナンバーの安全管理措置とは?
「安全管理措置」とは「個人情報の保護に関する法律」にも規定されていますが、個人情報を扱う事業者に対して個人情報保護と保全、そして外部漏洩の防止のために、必要な講ずべき対策を表しているものです。マイナンバー情報の漏洩とそれに伴う被害の発生を防止することが意図されています。
マイナンバー制度の施行に伴い、各事業者はこの「安全管理措置」の実施が求められる訳ですが、次にその流れと具体的に求められる措置について説明します。
安全管理措置の検討手順
安全管理措置の検討手順として、以下の手順で実施が必要となります。
1 個人情報を扱う事務の範囲の明確化
個人情報を利用する業務を明確に定め、その範囲を超えた利用を禁ずる。
2 特定個人情報等の範囲の明確化
1で明確化した業務に対して利用するべき、個人情報の範囲を明確にし、その範囲を超えた利用を禁ずる。
3 事務取扱担当者の明確化
1で個人情報を扱う業務に従事する担当者を明確にし、他者が利用することを禁ずる。
4 特定個人情報等の安全管理措置に関する基本方針の策定
事業者内で個人情報について情報保護と保全、そして外部漏洩の防止の観点から適切に扱われるための基本方針を策定する。
5 取扱規程等の策定
1~3で規定した内容に対して、文書規程として明確に策定しなければならない。
具体的な安全管理措置
前項1~5を行った上で、実際に安全管理措置として次のような事柄を講ずる必要があります。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
安全管理措置の4つのポイントとは?
では、次にそれぞれの内容について見ていきましょう。
組織的安全管理措置
「組織的安全管理措置」とは、事業者が個人情報を扱うためにどのような体制を構築し、それを運用すべきであるかと言うことを定めたものです。
具体的には、まず情報を扱うための組織体制について、責任者と担当者、そして扱う情報の範囲を明確にすることを求めています。加えて、漏洩発生時の体制等の明確化についても求めています。これらを行った上で、個人情報を扱うシステムのシステムログや情報の利用記録を明確に残すことなど運用面での規定についても定めています。
人的安全管理措置
次に「人的安全管理措置」とは、簡単に言うと情報を扱う担当者を原因として漏洩が発生することを防ぐものです。つまり担当者の故意や過失による情報の漏洩を防ぐことを意図しています。
具体的には、個人情報取扱担当者に対する適切かつ必要な監督、および利用についての教育を行うことになります。
物理的安全管理措置
「物理的安全管理措置」とは、個人情報に対して物理的に扱う区域を設置し(ICカードを利用した認証システムを設置するなどして)そこへのアクセスを制限することを指します。
また、利用機器の盗難・紛失等の防止策としては、個人情報の鍵のかかるキャビネットなどへの保管等が考えられます。情報を外部に持ち出す場合に漏洩防止策としては、情報の暗号化やパスワードによる保護を行うこと等があり、情報の削除時や機器の廃棄を行う際に実施すべき事柄についても示されています。
技術的安全管理措置
最後に「技術的安全管理措置」についてですが、これは個人情報に対しての不正アクセスの防止と、情報漏洩の防止について示したものです。
これは情報に対する「アクセス制御」、つまり情報システムから利用する場合にパスワード等を通して、適切なアクセス権者が適切にアクセス出来ることを担保することが必要ということです。これは、情報セキュリティの3大要素としてあげられる「可用性」「完全性」「機密性」というものにも通じるところがあります。
加えて外部からのアクセス防止策として下記項目が等が求められます。
また、扱う個人情報の漏洩防止策として、通信の暗号化といった具体策を講じることも求められます。
これらは、個人情報保護(JIS Q 15001)や情報セキュリティマネジメントシステム(ISO27001)にも規定されているところも多いのですが、マイナンバー制度が行政手続きに関連する高度な個人情報である性質を持っていることから、これらに比べてより高度なレベルでの情報管理が求められる内容となっています。
まとめ
従業員を雇用している企業であれば、彼らのマイナンバー管理は企業にとって行わなければならない業務です。
早急に本記事で説明した「安全管理措置」の4つのポイント「組織的」「人的」「物理的」「技術的」の内容をもとに対応を進め、適切な管理を行うことが求められています。