マイナンバーの導入で企業には安全管理対策が求められますが、具体的にはどのようにすれば良いのでしょうか?

マイナンバーの安全管理対策を講じる前の準備

いろんな安全管理対策を講じる前んい、まずはマイナンバーで取り扱う情報を整理する必要があります。

マイナンバーの運用管理については、情報漏洩がないように高い次元の安全管理措置が求められています。

基本方針を定めたうえで、物理的な対策をとっていかないとなりません。

しかし、全ての企業に対して同じように安全管理対策を求めることは現実的ではないため、従業員数が100人以下の企業には要求水準が緩和されています。

安全管理対策を講じるにあたって、いろんな対策を構築する前に以下が求められています。

・個人番号を取り扱う事務の範囲の明確化
・特定個人情報等の範囲の明確化
・事務を取り扱う担当者の明確化

個人番号を取り扱う事務の範囲の明確化

マイナンバーは社会保障分野や税分野で活用されることになりますが、下記のように定めるのが一般的です。

(1)健康保険・厚生年金保険関係届出事務
(2)雇用保険関係届出事務
(3)労働者災害補償保険法関係届出事務
(4)国民年金第三号被保険者関係届出事務
(5)給与所得・退職所得に係る源泉徴収票作成事務

特定個人情報等の範囲の明確化

特定個人情報の範囲について、マイナンバー単体だけではなく、マイナンバーと一緒に紐づけて何を管理するかのか明確にします。

特に、マイナンバーに色んな情報を紐づけて管理する場合、万が一、情報が漏洩したときに被害が大きくなることが考えられるため、情報システム担当者と連携していく必要があります。

事務を取り扱う担当者の明確化

マイナンバーを含めた特定個人情報を取り扱う担当者や部門を明確にすることになりますが、可能な限り個人を特定する必要が求められますが、企業によって困難な場合も考えられます。

その場合に、人事部門の給与課等といったように、取り扱う部門や担当者の範囲を明確にしておくのが一般的です。

こうした検討をした後に、基本方針を定めて、その基本方針を基にしえ物理的安全管理対策を考えることになります。

企業規模によるマイナンバーの安全管理対策の実務

従業員数が1000人以下の企業では、マイナンバーの安全管理対策のルールが緩和されていますが、具体的にどのように緩和されているのでしょうか?

マイナンバー制度は、従業員が1名の企業であっても例外なく対応することが求めらています。

情報が漏洩することがないように徹底した管理運用をしていかなければなりませんが、全ての企業に高次元の対策を求めることは現実的ではないため、従業員数が100名以下の中小企業に対して高次元の管理が緩和されています。

中小企業とは従業員数が100名以下の企業ですが、この100名の中には正社員以外に直接雇用のパートや嘱託社員も含まれています。全国に支店がいくつかある場合でも、完全に独立して労務管理を行っていないのであれば従業員数は合算して計算することになります。

仮に、全国に支店が3箇所あっても、給与計算や入退社などの労務管理が本社にて一括して実施されている状況であれば、従業員数は合算して計算することになります。

ただし、企業からの委託を受けて従業員の労務管理を代行している社会保険労務士事務所などについては、その事務所の従業員数が仮に5名などでも、中小企業の特例にはあたらず、通常と同様に高次元の対策が求められます。

物理的なマイナンバーの安全管理対策

マイナンバーの個人番号などの情報は、漏洩することがないように色んな対策が求められていますが、特に企業における負担となるのは物理的な対策です。

「特定個人情報の適正な取扱いに関するガイドライン」において、対策例が示されています。

これらの対策例はあくまでもガイドラインですので、全てその通りに実施する必要はありません。

例えば、入退室管理において、ICカードなどの利用は情報漏洩対策としては望ましいですが、建物の改修や導入後の保守料などの費用が発生するので、特に中小企業では導入することが難しい場合もあります。

そう考えると、立入禁止区域を設けて関係者以外の立入を一切禁止にする、特定個人情報に関する資料は鍵付きのキャビネットに格納して持ち出すには許可を得たうえでしか持ち出すことができない、などのルールを定める方法が、現実的に物理的な安全管理対策になるかと考えられます。

システム上のマイナンバーの安全管理対策

マイナンバー制度の導入に伴い、マイナンバーに関するセキュリティ対策を強化する必要が生じる場合があります。

しかし、情報がシステムから漏洩しないようにするには、セキュリティ対策としてシステム改修を行うだけではなく、システムの技術的な安全管理対策として、次のようなことが求められています。

・アクセス制御

・アクセス者の識別と認証

・外部からの不正アクセス等の防止

・情報漏洩等の防止

データによる情報は一度に大量に漏洩しやすいことから、セキュリティ対策は可能な限り行う必要があります。

例えば、誰でも自由にシステムにアクセスできないようにする、ログを確認することにより誰がアクセスしたかが分かるようにする、データの送受信にあたってはデータの暗号化やパスワードによる保護を行う、などの対策はそれほど難しくなく出来ることです。

支店や営業所がある場合のマイナンバーの安全管理対策

支店や営業所がある場合、どのような情報漏洩の対策をすれば良いのでしょうか?

情報漏洩の防止のために本社なみの費用をかけて対策をすることは、従業員数や予算の問題もあり難しくなります。

しかし、情報漏洩させないことが強く求められているために、支店や営業所においても個人情報の管理方法を見直す必要があります。

支店や営業所で従業員を雇う場合は、マイナンバーを支店などにおいて本人確認を行って、それを本社に通知することになりますが、その通知にあたって本社に通知した後に個人情報を支店や営業所で保管することが良くあるケースです。

情報漏洩のリスクを考えると、このように支店などで個人情報を保管することは禁止する必要があります。

また、支店から本社にデータで個人情報を送る場合に、パスワードをかけて送るなどの技術的な安全管理対策などの方法を考える必要があるでしょう。