2016年1月開始のマイナンバー(個人番号)制度では、すべての企業が、従業員とその家族のマイナンバーの適正な管理と漏洩対策を求められています。
自治体、大企業、中小企業などすべての事業者が対象ですが、「時間がない」「どう対策すればいいか、わからない」と、まだ対策できてない企業が7~8割という調査結果が報道されています。
マイナンバー対策とは?対策しないと、どうなる?
マイナンバーは、(1)社会保障、(2)税、(3)災害対策の円滑な手続のために、国民一人一人に与えられる番号のことです。2015年10月から国民ひとり一人に通知され、2016年1月から「国や地方公共団体」、「勤務先」、「年金・医療保険者」などの手続時に適用され運用開始されます。
情報漏洩対策を怠り、不正に使われると、厳密な処罰の対象に
マイナンバーを取り扱う事業者(すべての企業)は、適正な取り扱いの確保、必要な措置を取ることが義務付けられ、情報漏洩対策が必須となります。情報漏洩対策を怠り、内部従事者 また外部からの不正アクセスで、他人のマイナンバーを不正に入手したり、他人に不正に提供したりすると、厳密な処罰の対象になり、企業イメージも大きくダメージを受けます。
従業員から預かったマイナンバーを適正に取扱い、保管し、内部的にも外部的にも、不正に利用されないように情報漏洩対策することが必須なのです。
では、中小企業はどこまで対策すればいいのか?
しかし、「実際にマイナンバー対策をどうやればいいのか?」というお悩みの担当者の声をまだお聞きします。マイナンバー対策は、大きく分けて、5つの面で検討が必要です。
(1) | 組織的安全措置 | 責任者や取扱者、報告ルートなどを決めます。 |
(2) | 人的安全措置 | 定期的な研修や、就業規則追加など行います。 |
(3) | 物理的安全措置 | マイナンバー取り扱い区域(席)・専用端末の設置や、電子媒体を持ち出し時の漏洩・盗難防止対策を行います。 |
(4) | 技術的安全措置 | マイナンバー管理(システムやファイル)へのアクセス制限、専任者の識別と認証、外部からの不正アクセス防止などを行います。 |
(5) | 業務対応 | 従業員(扶養家族含む)のマイナンバー収集や、行政(税務署や年金事務所など)申告書作成などを行います。 |
多くの担当者がお悩みになるのは、 上記の(3)物理的安全措置 と(4)技術的安全措置 です。(3)物理的安全措置として、マイナンバーと紐づける必要のある給与や経理システムを、高額な資産管理システムとして全面入れ替えなど検討される企業もあります。
しかし、中小企業の多くは、マイナンバー管理のためだけに、高額システムの導入や複雑な運用は、難しい現状があるのではないでしょうか?
技術的安全措置 に具体的な対策をプラスすることが、有効な手段に
中小企業の場合、既にお使いの給与や経理・人事システム自体は、各システムで個人番号のデータ管理や帳票出力などにセキュリティ対策する場合がほとんどでしょうし、オリジナルデータとしてのマイナンバー管理は、今までの社員情報にマイナンバーをセットしてエクセルで一括管理するケースが一般的だと思います。
つまり、多くのケースでは、(4)技術的安全措置 に具体的な対策をプラスすることが、有効な手段になるということです。このケースのメリットとしては、コストをかけず必要な要件だけに対策できることです。
要点を抑えた技術安全措置なら、最低限必要な準備でスタートできる
コストをかけず、要点をおさえた技術的安全措置として、弊社では「トランセーファー BASIC」をご提案しています。
ここでは、政府発表のマイナンバー対策で必要とされる「特定個人情報に関する安全措置」の内容と、それらの要件とはなにか、それに対して「トランセーファー BASIC」がどう対策できるのかをご説明します。
「特定個人情報に関する安全措置」の中で、「トランセーファー BASIC」が有効な要件
政府発表の「特定個人情報に関する安全措置」と「トランセーファー BASIC」が有効な要件を照合しました。
(A)基本方針の策定 | |
(B)取扱規程等の策定 | |
(C)組織的安全管理措置 | (a)組織体制の整備 |
(b)取扱規程等に基づく運用 | |
(c)取扱状況を確認する手段の整備 | |
(d)情報漏洩等事案に対応する体制の整備 | |
(e)取扱状況の把握および安全管理措置の見直し | |
(D)人的安全管理措置 | (a)事務取扱担当者の監督 |
(b)事務取扱担当者の教育 | |
(E)物理的安全管理措置 | (a)特定個人情報等を取り扱う区域の管理 |
(b)機器及び電子媒体等の盗難等の防止 | |
(c)電子媒体等を持ち出す場合の漏えい等の防止 ⇒「トランセーファー BASIC」でファイルにパスワードを設定して暗号化することにより、第三者には開くことができません。電子媒体でマイナンバー関連データを移送時にも保護できます。 | |
(d)個人番号の削除、機器及び電子媒体等の廃棄 | |
(F)技術的安全管理措置 | (a)アクセス制御 ⇒「トランセーファー BASIC」で、ファイルに利用権(閲覧のみ、編集可能など)を設定してパスワード暗号化することにより、アクセス権を持つ使用者、またその利用権限までを制限できます。 |
(b)アクセス者の識別と認証 ⇒「トランセーファー BASIC」で「利用端末の制限が可能です。「パソコンのログイン認証+トランセーファー BASICの端末限定」で運用すれば、「特定個人情報を取り扱う機器」と「担当者」を限定することができます。 | |
(c)外部からの不正アクセス等の防止 | |
(d)情報漏えい等の防止 ⇒「トランセーファー BASIC」でファイル暗号化することで、正規パスワードを持たない第三者は開けず、情報漏洩を防止します。 インターネットなどで外部送信する場合、通信経路での情報漏洩を防止できます。また、コピーや印刷制限など、ファイルを渡した先での不正利用を防ぐことができます。ファイルに利用期限も設定でき、期限を過ぎれば使えないなど、より強固な情報漏洩対策を実現します。 |
このように、マイナンバー対策の情報漏洩対策の要件を「トランセーファー BASIC」が満たすことがおわかりいただけます。
改めて整理すると、「トランセーファー BASIC」は以下のポイントに絞って、マイナンバーの情報漏洩対策を行います。
マイナンバーを含んだファイルのアクセス制限 ⇒(暗号化/パスワードで運用)
マイナンバーを含んだファイルの不正なコピーや印刷の制限 ⇒(不正流出の防止)
マイナンバーを扱う利用端末の限定 ⇒(管理区域外での利用を防止)
マイナンバーを含んだファイルに利用期限を設定 ⇒(外部提供・持ち出し後対策)
サーバーが不要 ⇒(低コストで抑えられる)
パスワードで暗号化する簡単な操作性 ⇒(使う人を選ばず、定着しやすい)
外部委託ケースで抑えておくべき対策とは?
総務管理を外部委託しているケースでは、マイナンバーを含むファイルを外部と受け渡しする場合が必ず発生します。ファイルを利用できる権限を、管理者と作業者で分け、情報漏洩リスクを低下させることが必要です。
マイナンバー管理者と作業者(外部委託先含む)で、利用権限を分ける
「トランセーファー BASIC」は、ファイルを暗号化し、[閲覧]、[閲覧+印刷]、[編集]の3つの権限で利用することができます。マイナンバーの管理者は[編集許可]にし、給与担当者や外部委託先は[閲覧]のみなどの運用が可能です。あらかじめ、必要のない権限は与えないことで、リスクをぐっと軽減できます。
経理や給与が外部委託の場合は、マイナンバー情報を暗号化して渡す
給与業務や税理業務を、社労士や税理士に外部委託するケースも多いと思います。委託先からもしマイナンバーが漏洩してしまった場合も、すべて委託先の責任にはできません。委託元の安全管理措置として、委託先に対する適切な監督義務が生じます。パスワードで暗号化しておく、委託先でも端末を限定して開けるようにしておくことで、対策ができます。
有効期限を付けることで作業完了後のアクセスを防ぐ
外部委託者に受け渡すファイルに有効期限を付けることができます。年末調整や算定基礎届けなどの事務処理期間中のみデータの利用を許可するなどの運用ができます。一定の安全管理措置を行った状態で、安全にデータの受け渡しを行うことが可能です。
まとめ。要点を抑えた対策なら、今からマイナンバー対策をスタートできる。
いかがでしたか?
すべてをやろうと思っても、時間のない中では無理があります。
自社に最低限必要な情報漏洩対策に絞ることで、マイナンバー対策をスタートさせることができます。今すぐ行動される貴社に、低コストで要件をおさえた「トランセーファー BASIC」をお役立てください。
ご不明な点は、以下までお気軽にお問い合わせください。無償の評価版もご用意しています。
お問い合わせ