マイナンバーの取り扱いにあたっては、すべての事業者が「個人情報保護委員会」が示すガイドライン(特定個人情報の適正な取扱いに関するガイドライン《事業者編》http://www.ppc.go.jp/files/pdf/261211guideline2.pdf)に従った対策を講ずる必要があります。
さらに、「別添 特定個人情報に関する安全管理措置《事業者編》」http://www.ppc.go.jp/files/pdf/261211guideline2.pdfには取り扱いについての具体的な方法が提示されており、事業者はここで提示された通りの措置を講じる必要があります。

マイナンバー担当者の方には、是非一度、特定個人情報保護委員会の公式サイトでガイドラインの内容を確認していただきたいと思いますが、実はこのガイドラインの内容の多くは一般論であり、マニュアルのように細かなところまで示されているわけではありません。
それぞれの企業が、自社の業務プロセスとガイドラインの内容を照らしあわせた上で、最適な対応策を考えていかなくてはならないというのが、マイナンバー対応の最も難しいところです。

今回実施したアンケートでは、多くの担当者が「セキュリティ」に関する不安を抱えていることがわかりました。企業の情報漏えい事件に対する社会の目が厳しくなっていることもあり、担当者の不安や負担はこれまでにないほど大きなものとなっているようです。
特にマイナンバー制度では、「情報漏えいしてしまったら大変!」ということばかりが取り上げられるため、「一体どこまでセキュリティを高めなければならないの」かと頭を抱えてしまう担当者の方も多いのではないかと思います。

ということで、今回のコラムでは、セキュリティの基本となる「安全管理措置」について整理してみたいと思います。

こちらが、「安全管理措置」の全体像です。

STEP1:安全管理措置の対象になるマイナンバー関連の業務範囲と担当者を決める。
STEP2:マイナンバーの取扱方針と取扱規程を定める。
STEP3:ガイドラインで示されている4つの観点からの「安全管理措置」について対策を講じる。

では、それぞれのステップについて、もう少し詳しく見ていきましょう。

この記事の目次

  1. 【STEP1】安全管理措置について検討する。
  2. 【STEP2】特定個人情報取扱の基本方針、取扱規程などを策定する。
  3. 【STEP3】4つの観点からの「安全管理措置」を決める。
  4. 「継続的に運用する」という視点が重要!
  5. 自社に合ったシステムを活用しましょう!
  6. 「TeamSpirit」ができること

【STEP1】安全管理措置について検討する。

まずはマイナンバーを取り扱う業務と担当者を明確にします。
考えるべきポイントは次の3つです。

1. どのような業務でマイナンバーを取り扱うか。
参考:マイナンバーを記載する必要のある帳票に関する情報
国税庁:http://www.nta.go.jp/mynumberinfo/jyoho.htm#kisai
総務省:http://www.soumu.go.jp/kojinbango_card/mynumber_tax.html
厚生労働省:http://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000062603.html
2. マイナンバーの情報と合わせて管理することになる個人情報には何があるか(氏名・住所など)。
3. 誰がマイナンバー関連の業務を担当するか。

以前のコラムで説明したように、マイナンバーの使用目的は法律上限定されています。「税」・「社会保険」関連でマイナンバーが必要となる業務を洗い出し、担当者を確定しましょう。

【STEP2】特定個人情報取扱の基本方針、取扱規程などを策定する。

安全管理措置の対象業務と担当者が明確になったら、マイナンバーを適切に取り扱う際の指針となる文書を作成します。これが「基本方針」と「取扱規程」です。
「基本方針」・「取扱規程」のいずれに関しても、文書のフォーマットや織り込むべき内容について具体的な指定があるわけではありません。業務内容やガイドラインの内容にもとづいて、各企業が自社にあったものを作成する必要があります。

①基本方針
基本方針の策定は義務ではありませんが、自社がマイナンバーを適切に取り扱う姿勢を見せ、関係者の理解と信頼を得るためにも、是非策定しておきましょう。

②取扱規程
源泉徴収票や支払調書の作成手順など、マイナンバーの取得から削除に至る一連の業務フローや、書類作成業務を行う際の注意点などを文書としてまとめたものです。
基本方針とは異なり、取扱規程の策定は義務化されています(※1)。内容についての明確な指定はありませんが、STEP3で説明する「4つの観点からの『安全管理措置』」についての内容を織り込むことが重要とされています。

「取扱規程」は文章ではなく、フロー図などで示すことも可能です。せっかく作成しても形骸化してしまっては意味がないので、従業員がいつでも手軽に閲覧し、簡単に理解できるようなかたちでまとめるようにしましょう。

取扱規程イメージ図

(※1)100人以下の中小事業所については、軽減措置が認められています。軽減措置についての具体例は、後半でご紹介します。

【STEP3】4つの観点からの「安全管理措置」を決める。

さてマイナンバー対応の最大の難所が、この「安全管理措置」への対応です。
ガイドラインでは「組織的」・「人的」・「物理的」・「技術的」という4つの観点からの「安全管理措置」を求めています。例えばオフィスのレイアウト変更や鍵がかかるロッカーの購入、既存システムの改修まで様々な対応が必要となり、場合によっては大きな負担を伴います。

「適正な安全管理措置を講じながらも、効率的に業務を進めていくためにはどうすればいいか」というのが大きな課題となりそうです。まずは「安全管理措置」の内容を確認し、自社の業務と照らし合わせながら具体的な対応策を決定していきましょう。

1.組織的安全管理措置

マイナンバーを適正に取り扱うための組織整備です。

<ポイント>
① マイナンバー関連業務の責任者と事務取扱担当者を分ける。
・「責任者」と「担当者」で任務を区別し、ミスや不正が起こらない組織体制にする。
・マイナンバーの取扱い状況を責任者が把握できるようにする。
・何か問題が発生したときの「報告」・「連絡」・「相談」体制を整えておく。
などが必要です。

②マイナンバーの利用実績やシステムログを記録する仕組みを整える。
システムログを記録するほか、エクセルなどを使って、マイナンバーの取扱い履歴を逐一記録しておくことが必要です。
(例)

2.人的安全管理措置

従業員に定期的な研修を行うほか、秘密保持に関する事項を就業規則などに盛り込むなどして、運用ルールを徹底する必要があります。

3.物理的安全管理措置

企業は情報漏えいなどが起こらないように、オフィスのレイアウトや書類・データの管理方法について物理的な対策を施す必要があります。安全管理措置のなかでも、特に手間やコストがかかる項目です。

出典:内閣府 「マイナンバー 社会保障・税番号制度が始まります! 中小企業のみなさんへ(入門編) 平成27年5月版」より
http://www.cas.go.jp/jp/seisaku/bangoseido/download/kojinjigyou.pdf

【物理的安全管理措置のポイント】

マイナンバー情報を取り扱う場所(管理区域)を物理的に分け、担当者以外から簡単に覗き見されないようにする。

→壁やパーティションを設けるか、座席配置で対応するか?

マイナンバーが記載されているデータや書類、マイナンバー情報が保存されている電子機器の盗難対策をする。

→書類はどこで保管するか? データを盗難されないようにするためにはどうするか?

管理区域から持ち出すときの漏えい対応策を講じる。

→データの暗号化、パスワードによる保護をどう実現するか?

マイナンバーの削除・廃棄をする際に、絶対に復元されないような方法をとる。

→書類の廃棄やデータの削除状況をどのように正確に把握するか?

などです。

4. 技術的安全管理措置

情報システムを使ってマイナンバーを管理する場合には、技術的な情報漏えい防止対策が必要です。既存のシステムにマイナンバー管理機能を追加する場合には、アクセス制御の面で大幅な改修が必要になる可能性もあります。

【技術的安全管理措置のポイント】

アクセス制御を行う。

担当者以外がマイナンバー情報にアクセスできないようにする。また、マイナンバーと紐づけてアクセスできる情報の範囲を限定する。

アクセス者の識別と認証を行う。

ユーザーID・パスワードなどを設定し、情報システムを取り扱う担当者を限定する。

外部からの不正アクセス等の防止を行う。

ウィルス対策ソフトウェアを導入する。また、アクセスログを監視して不正アクセスを検知する。

情報漏えい等の防止策を講じる。

データの暗号化、パスワードによる保護、通信経路の暗号化などの対策をとる。

現在の社員情報管理システムや帳票システムの改修で対応できるのか、外部のマイナンバー管理システムを導入した方がよいのか、エクセルなどで管理している場合はセキュリティ対策やアクセス制御をどうするか、などが検討事項になります。

【参考】
従業員が100人以下の中小事業者については、軽減措置が設けられています。以下が一例です。
詳しい内容については、「別添 特定個人情報に関する安全管理措置《事業者編》http://www.ppc.go.jp/files/pdf/261211guideline2.pdf」をご確認ください。

「継続的に運用する」という視点が重要!

さて、ここまで「安全管理措置」について簡単にご紹介してきましたが、気をつけなくてはならないのは今回決めたマイナンバー管理方法は継続的に運用していく必要があるということです。

例えば企業活動において、どのようなタイミングでマイナンバー関連業務が発生するかを考えてみると

・入社時・・・マイナンバーの取得

・年末調整時・・・マイナンバーを記載した帳票の作成

・社員の家族関係が変化したとき・・・マイナンバーの取得

・会社の再編があったとき・・・マイナンバーの提供

・退職があったとき・・・マイナンバーの廃棄、削除

・法制度が変更されたとき・・・取扱規程、安全管理措置の変更

・書類の保存期間が終了したとき・・・マイナンバーの廃棄、削除

などが挙げられます。

細かなルールを遵守しながら、これらの業務に日常的に対応しなければならないというのは、担当者にとってはかなりの負荷になります。特にエクセルや書類で情報を管理している場合には、業務が非常に煩雑になることが予想されます。

マイナンバーにいかに対応するかを考えるだけではなく、これを機に、日常業務全体をいかに効率化していくかという大きな視点をもつことも大切ではないでしょうか。

自社に合ったシステムを活用しましょう!

マイナンバー制度の導入をきっかけに、IT環境の整備を検討する企業も少なくないようです。ここで大きな味方となるのが専用の外部サービスです。

外部サービスを使用するメリットには

・自社システムの改修が不要、もしくは軽微で済む。

・安全管理体制の構築の多くをシステムに任せることができる。

・法制度の変更にもすぐに対応できる。

などが挙げられます。

最近ではマイナンバー関連のさまざまなサービスが登場していますが、自社のビジネスモデルや事業規模にマッチしたサービスを見つけること、委託先の安全管理体制をしっかりと見極めることが重要です。

「TeamSpirit」ができること

最後に、TeamSpiritのマイナンバー対応ソリューションを簡単にご紹介したいと思います。

【マイナンバーエンジン】

「TeamSpirit マイナンバーエンジン」は、「技術的安全管理措置」のすべての項目に対応しており、既存システムにアドオンするだけで、安全なクラウド・モバイル環境のもと、マイナンバーの収集から削除までの業務フローを実行することが可能です。マイナンバーの収集や継続的に管理する作業が効率化され、紙やExcelの管理に比べて保管の安全性も向上します。

また、TeamSpirit と組み合わせることでマイナンバーのセルフ登録が可能となります。
従業員から紙やメールでマイナンバーを収集すると、情報漏えいや入力ミスなどさまざまなリスクがともないます。従業員自身がマイナンバーを登録することで、全国各地に事業所があるような場合でも、マイナンバー実務担当者の手をわずらわせることなく効率的にかつ安全にマイナンバーの収集を進めることができます。

TeamSpiritを導入していなくても「TeamSpirit マイナンバーエンジン」を使用することは可能です。この場合は、取扱担当者が従業員からマイナンバーを証明する書類(通知カードや住民票)を受け取り、本人確認を行った上で、「TeamSpirit マイナンバーエンジン」にマイナンバー情報を登録することになります。

マイナンバー制度には、まだ曖昧な部分が多く、法令やガイドラインはいつ変更されるかわかりません。また政府から各企業に直接支持があるわけではなく、基本的に自ら情報収集することが求められています。
常に最新の情報をキャッチアップし、その都度業務プロセスを改善していくというのは大きな負担となりますが、まずはマイナンバー制度の基本についてしっかりと理解し、マネジメント層を巻き込みながら、日常業務の効率化も含めた大きな視野で対策を進めていくことが、適切なマイナンバー対策を続けていく秘訣かもしれません。

このコラムは2015年6月公開のマイナンバー制度 徹底解説講座を2016年2月時点の最新情報で再編集したものです。