ページトップへ
TOP BUSINESS 今更聞けない、企業経営者が知っておくべきマイナンバーのセキュリティ対策
2017.03.20 BUSINESS

今更聞けない、企業経営者が知っておくべきマイナンバーのセキュリティ対策


企業責任を問われる制度

企業が従業員からマイナンバー情報を収集、管理する際に「番号漏えい」などが起これば、企業が管理者としての責任を問われる。

例えば、番号を不正に漏えいした者には以下のような罰則がある。
“個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供 4年以下の懲役若しくは200万円以下の罰金又は併科(第51条)
引用元:特定個人情報の適正な取扱いに関するガイドライン(事業者編)(本文及び(別添)特定個人情報に関する安全管理措置)|個人情報保護委員会

また、企業も同額の罰金が科せられるのである。こうした不正アクセスなどでの漏えいを防ぐためにも、セキュリティ対策の強化はキーポイントと言えるだろう。

専門部署の創設

マイナンバーにおけるセキュリティ対策は、どのような体制を取れば良いだろうか。

政府は「特定個人情報の適切な取扱いに関するガイドライン」を発表していることから、企業側はまず専門部会の創設や管理責任者を任命し、ガイドラインに従って管理者育成を図るのが第一段階である。企業側に求められるのはマイナンバーの収集と保管、漏えい防止のための破棄作業の3点だ。
これらの段階で専門のシステムを作成することで、企業側が従業員のセキュリティを守る保管システムを構築できるのだ。

マイナンバーのなりすましトラブル

個人情報漏えいを防ぐために部署創設の必要性を挙げたが、なりすましによるトラブルが発生していることも見過ごせない点である。

実際マイナンバーが流出したことにより、本人になりすまして確定申告を行い、税の還付金が騙し取られるというケースも存在する。これ以降、本人になりすまして銀行口座を開設、クレジットカードを作成するなど犯罪が横行しているのが現状である。
被害にあっても、しばらく本人は気づかないというケースが多く、気付いたときには莫大な借金を抱えていることも。これでは個人の責任どころか、企業側の責任追及も逃れられない。

また2018年1月以降、年金に関わる手続きにマイナンバーが利用でき、3月には本格稼働することがわかっているなど、今後マイナンバーを使用した手続きはより一層増えると考えられる。こうした動きから、マイナンバーの保管がいかに重要か、漏えいが企業に多大なダメージを与えるかは容易に想像できるだろう。

外部の力を借りたクラウド管理方法

特定の個人情報管理自体は、専門家を通して委託することが認められている。自社のマイナンバーなどを含めた、個人情報管理の保管リスクを圧倒的に減らすことができるのがクラウド活用の利点だ。

「SaaS(Software as a Service)」のようなERPパッケージの導入により、ローコストで運用するのが最初のクラウド導入としては良いだろう。すでに他のERPパッケージを導入しているのであれば運用環境を移行するなど、セキュリティを向上させるためのクラウド選びを検討してほしい。
クラウドを委託する際は、委託した側の企業が、「委託先に対して監督業務責任がある」とマイナンバー法に定められていることをご存知だろうか。つまり、最終的な責任は管理責任を持った企業にあるわけである。これが、外部委託の場合でも社内に専門部署が必要な理由だ。

個人情報を自社管理するにしても、クラウド委託するにしても、両者ともにコストは発生するが、まずはセキュリティリスクの回避など業務改善のチャンスと捉えてクラウド導入を検討してみてはどうだろうか。

情報漏えいが起こる前に

マイナンバー制度が実施される前から、同様の重要な個人情報を取り扱う企業があるが、マイナンバー追加でより取り扱いの重要性や厳しい管理が求められている。近年、情報漏えいで流出源を特定すると、内部が原因だったということがほとんどであった。

情報漏えいが起こると事後対応はもちろんのことだが、企業へのマイナスイメージがつくので、マイナンバーと合わせて個人情報の取り扱いを各企業で見直す必要がありそうだ。