マイナンバー対策 最新事情マイナンバー制度とは!?

概要

情報漏えいを許さない!マイナンバー 対策最新事情

この10月からマイナンバー制度における個人番号(マイナンバー)の通知が始まった。

マスコミでは『マイナンバー特集 』が盛んに組まれており、注目度の高い制度であることは確かだ。

一方で、中小・零細企業の間では「内容が難しい」「どう対策すればいいのか分からない」との声が、いまだに多く聞かれる。

事業者にとって低コストかつ確実なマイナンバー対策とは、いかにあるべきか!?

マイナンバー制度への対応は、給与支払いや支払調書発行を行うすべての法人・個人事業主に課せられた義務だ。それだけに「分からない」で済ませることはできない。基本的な内容の理解と必要最小限の実務には、しっかり取り組む必要がある。

もっともマイナンバー制度の骨子は、それほど難しいものではない。法人や個人事業主が成すべき実務は、税や社会保障に関連する機関(税務署、市区町村、健康保険組合等)へ、2016年1月以降に提出する書類に「個人番号を書き込むこと」である。これまでも従業員や取引先の氏名・住所などを記載していたはずであり、記載項目が1つ増えるだけだ。

ただし、法人には従業員や取引先の個人番号を収集し、これを厳密に保管・廃棄する義務が課せられている。これがマイナンバー制度を難しく感じさせている要因といえよう。

表1は法人が成すべきマイナンバーの主な実務をまとめたもの。基本的には「①番号収集」「②利用・提供」「③保管」「④廃棄」の4つである。

■表1 法人が成すべきマイナンバーの主要実務

①番号収集 ・収集対象は従業員、従業員の扶養家族、パート・アルバイト、取引先(支払調書の発行先)
・利用目的の明示、本人確認の確実な履行
②利用・提供 ・利用は現状、「税」「社会保障」「災害」の行政書類に限定
③保管 ・番号管理者、取扱者の明確化
・適切な「安全管理措置」の遂行
④廃棄 ・不要時には迅速かつ確実に廃棄

番号収集のタイミングとは!?

まず①番号収集だが、その対象は従業員とその扶養家族、パート・アルバイト、及び支払調書を発行している取引先や株主である。収集方法は対面、郵送、オンラインの3つで、必要書類は「番号通知カード」と本人確認用の運転免許証やパスポートなどのコピーだ。その際、使用目的の明示が求められている。

番号収集の時期だが、2016年1月移行の給与支払い分については、基本的には年末調整を行う2016年11〜12月頃までに収集されていれば問題ないことになる。ただし、例えば2016年1月の給与支払いを最後に退職する従業員やパートなどは、その支払についての源泉徴収票を作成する必要があり、退職前に個人番号を収集しなければならない。

反対に2016年1月に中途入社する従業員の場合は、雇用保険の被保険者資格取得届に個人番号を記載するため、入社タイミングでの番号収集が必要となる。

このように個人番号が必要となるタイミングは状況によって異なるため、必要な従業員の番号をその都度収集するか、どこかのタイミングで一括収集するかを事前に計画することが重要だろう。

法人が個人番号を、②利用・提供する場面は現状、税と社会保障の分野に限定される。そのため、事前(できれば2015年中)に収集対象者を洗い出し、個々人が、どの行政書類に記載が必要となるのかについて、整理することが望ましい。

これにより、個々の法人にとって最適な収集時期や方法などを想定しやすくなるはずである。

社内セキュリティ見直しの好機

③保管も、法人にとっての負担が大きい実務だろう。いわゆるセキュリティ対策であり、マイナンバー関連商品の多くも、ここを主眼にしたものが主流である。

ただし、これも考え方1つといえ、極論すれば収集した個人番号のペーパーリストを作成し、既存の金庫に保管。その鍵を社長だけが持つという方法でも、マイナンバー対策として、法的にはまったく問題がない。これならば新たなセキュリティ対策を講じる必要もなく、コスト負担もほぼ皆無に抑えることが可能だ。

ここでポイントとなるのは、マイナンバー対策を、収集した個人番号の保管・管理としてのみとらえるのか、それとも社内のセキュリティを全面的に見直す機会としてとらえるのか、である。

個人番号は特定個人情報につながる重要機密だけに、厳密な保管が必要なことはいうまでもない。

だが、法人にとっての重要情報は、それだけに止まらないはずだ。しかも、そうした情報の多くは、社内外のネットワークを介してやり取りすることにより初めて、効率的な有効活用が可能になる。

つまり社内のセキュリティを強化し、その延長線として個人番号の厳密な保管・管理を行う。これがネットワーク社会で広範な事業を行う法人にとって、正攻法な考え方といえるだろう。マイナンバー法もこうした要素を強く盛り込んでおり、これを「法人が講ずべき安全管理措置」としてまとめている。

表2はその概要だが、書かれた内容はどれも個人番号の保管・管理に止まらず、現代社会における法人のセキュリティ指針ともいえる内容となっている。

■表2 講ずべき「安全管理措置」

項目 内容 対策機器/対策案
組織的安全管理措置 ・ログ管理(取り扱い状況を確認する体制の整備 ログ管理ソフト、ログ管理機能搭載のPC/サーバー等
物理的安全管理措置 ・監視(特定個人情報を取り扱う区域の管理) パーテーション、施錠式キャビネット、ネットワークカメラ等
・紛失対策(電子媒体等を持ち出す場合の漏えい予防) 暗号化対応のHDD/USBメモリ等
・情報の完全削除(個人番号の削除、機器等の廃棄) データ消去ソフト、シュレッダー等
技術的安全管理措置 ・情報アクセスの限定(アクセス者の識別・認証) 指紋認証/ICカード認証対応PC等
・標的型攻撃からの防御(外部からの不正アクセス防止) 総合セキュリティソフト、パスワード一括管理ソフト等
・個人情報ファイルの保護(情報漏えい等の防止) 暗号化対応PC/サーバー、暗号化対応業務ソフト等
人的安全管理措置 ・事務取扱担当者の監督、教育 担当者の明確化、及び適切な監督・教育の実施

4つの「安全管理措置」

「組織的安全管理措置」ではログ管理(取り扱い履歴管理)が重要ポイントだが、これは誰がいつ、どんな目的で保管情報を扱ったのかを明確にするもの。これには改ざんや修正が難しい管理システムの導入が最も効果的であることは確かだ。

また「物理的安全管理措置」とは、保管情報を取り扱う端末の保管・管理の明確化や、保管情報を外部に持ち出す際のセキュリティをまとめたもの。大がかりなシステムでなくとも、例えば事務作業端末をパーテーションで間仕切りするだけで、セキュリティ効果を高められる。

「技術的安全管理措置」では、やはり外部からの不正アクセス防止がポイントだろう。そのリスクや対策については次ページ以降で詳細に解説するが、昨今の個人情報漏えい事件は、これが甘かったことに起因するケースが多い。マイナンバー法の有無に関係なく、真っ先に見直すべきセキュリティ対策といえる。

同時に「人的安全管理措置」は、内部からの情報流出を防ぐための必須項目といえる。事務取扱担当者を明確化し、正しい監督や教育を行うことで、内部流出の多くが予防できるはずである。

マイナンバー法では情報漏えいに対する厳しい罰則規定が設けられている。だが、個人情報が漏えいすれば、それ以上の社会的制裁が待ち受けており、甚大な賠償コストなどを余儀なくされる。マイナンバー対策は「その防御のために行う」との観点から取り組むべきだろう。