マイナンバーのセキュリティ対策
先日、あるお客様から「マイナンバーのセキュリティ対策」について質問される事がありました。なんとなく人事労務任せでさほど気にされないマイナンバーについて、実際はどのような対策が要求されているのかまとめてみました。
マイナンバー制度
2015年よりいわゆる「マイナンバー法」に紐付き開始されたマイナンバー制度は、全ての企業で従業員のマイナンバーを適切に管理することが要求されています。
マイナンバーは重要な個人情報という位置付けで、一般的な個人情報よりもさらに厳しい管理が必要となります。また、万が一漏えいさせた場合には損害賠償請求や刑事責任を追求される可能性すらある類の、慎重に扱うべき情報なのです。
また、マイナンバーは個人に発行される唯一の番号であるため、免許証、保険証、などとの統合、またマイナポイントに代表される民間での利活用が期待されており、そういった点においても今後ますます取り扱いには厳格な管理が求められる情報でもあります。
4つの安全管理措置
マイナンバーの取り扱いには「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に従い、安全管理措置対策、いわゆるセキュリティ対策を行う必要があるのですが、従業員数が100名以下の企業は「中小規模事業者」としての緩和措置があるので、どちらに該当するのかは確認が必要です。
ガイドラインでは「基本方針の策定」「取扱規定の策定」に始まりマイナンバーを適切に管理するための具体的な4つの安全管理措置が要求されています。また「中小規模事業者」での緩和措置でも内容のレベルに違いはありますが基本的にやることは同じです。
①組織的安全管理措置
マイナンバーを管理する組織、ざっくり「管理体制」を整備しましょうというもので、マイナンバー取り扱いの、責任者、担当者、業務、部署などを決める、といった内容です。
②人的安全管理措置
マイナンバー取扱責任者や取扱担当者が、規定や手順に従ってマイナンバーを適切に取り扱っているかどうかを確認するための仕組みを作りましょうという内容です。
③物理的安全管理措置
紙やデータで保存されるマイナンバーを物理的にしっかり守りましょう、という内容です。また不要となったマイナンバー削除についてもここで触れられています。
④技術的安全管理措置
ここはざっくり「アクセス権」についての内容です。許可された者以外へのマイナンバーのアクセスを制限する、不正アクセスを防止する、などについてもこの範囲に含まれます。
セキュリティ対策の見直し
マイナンバーはガイドラインにより安全管理措置が示されてはいますが、有効なセキュリティ対策が実施されいるかどうか、ルールだけ作って形骸化していないか、などといった点については、定期的な見直しや自己点検などが非常に重要です。
適切に運用が行えていない場合「マイナンバー法」に違反したとして、懲役や罰金など非常に厳しいペナルティが課せられる可能性もあり、制度が始まり運用もこなれてきた頃に、漏洩や不正アクセスなど、マイナンバーに関する事故が起こるケースもあります。
マキナレコードでは、マイナンバーのセキュリティ対策ついての勉強会を開催しました。コロナの影響でニューノーマルな働き方が求められる中、新年度が始まったこの機会に、今一度マイナンバーのセキュリティ対策について見直してみてはいかがでしょうか?