セキュリティ最前線ガードを固めてリスクに備えよ!

概要

社会保障・税番号(マイナンバー)制度が2016年1月にスタートして約9カ月が経ったが、対策に未着手という小規模事業者や中小企業は少なくないという。

その理由はさまざまだろうが、すでに制度は始まっており、実務での本格利用も間近に迫っている。

情報漏えいリスクなどの負の側面ばかりがフォーカスされているが、「将来的にはビジネスチャンス」と捉える向きもある。対策を講じるにはギリギリのタイミングだ。

今こそ、マイナンバー対策に取り組もう。

「通知カードを受け取れず個人番号が分からない」「企業の対応が遅れている」など、マイナンバー制度は運用開始当初から残念な実態が指摘されている。

特に、不安視されたのがマイナンバーカードの交付だ。申請から交付通知まで半年近くも待たされ、しかも受け取り日は予約制で、暗証番号の設定も複雑過ぎるなど利便性のかけらもない。安全性を重視してのことだろうが、それが逆に制度の印象をさらに悪くした感がある。

銀行取引などで行政書類を提出しなければならない場面では、「マイナンバーの記載がないもので」といわれる始末だ。

また、マイナンバー制度反対派による個人番号通知の受け取り拒否や会社への提供拒否なども、当初はかなり目立っていたものである。

用途拡大がビジネスチャンスに

こうした事実だけを見て、「やはりマイナンバー制度は面倒な業務を増やすだけ」「余計なリスクが生じるだけ」と考えているなら、それは早計だろう。

実際、制度整備は粛々と進められており、拒否しようとも、今年の11月頃からは行政書類の提出などで、個人番号の利用が本格化する。

過度な不安ばかりがクローズアップされているが、そもそも新しいサービスが始まる際には、多かれ少なかれ課題は付き物。マイナンバー制度は個人情報に関わるだけに、それが大きく注目された。慣れるのに時間を要するかもしれないが、いずれは当たり前の制度として使われていくことは間違いない。

そうした中、「マイナンバー制度は将来的にはビジネスチャンス」との見方も増えつつある。現在、個人番号の利用は特定分野の行政書類での用途にとどまるが、政府は民間企業での活用、軽減税率やポイントカードとの連携などの構想を掲げているからだ。

そうなれば、新しい事業機会や業務の効率化につながる可能性は十分にある。この意味で、マイナンバー対策にしっかりと取り組むことは将来のチャンスに備えるための一歩ともいえる。

こうした背景を踏まえ、以下ではマイナンバー制度の再確認と事業者が取り組むべき対策を見ていきたい。

4項目の実務作業が必須

マイナンバー制度は、住民票を持つすべての人(外国人も含む)に個人番号を与えて、行政の効率化を目指す仕組みだ。しばらくは「税金」「社会保障」「災害」で利用される(図1)。

これら3分野に関する行政書類では個人番号を記載する必要があり、源泉徴収票の作成や雇用保険の手続きなどを行うすべての民間事業者に、個人番号を集め、これを安全に利用・保管して、不要になれば廃棄まで厳密に管理することが義務付けられている。

事業者が、マイナンバー対策として取り組まねばならない実務作業は図2の通り。①個人番号収集、②利用・提供、③保管(セキュリティ対策)、④廃棄という主に4つのプロセスである。

準備のリミットが迫る中、それぞれの項目について最低限やるべきことについて、新しい動きなども合わせてチェックしていこう。

<図1:マイナンバー制度の概要>
56_015

個人番号の収集

まず、マイナンバー対策で最初の作業が①個人番号収集だ。対象となるのは、従業員とその扶養家族、パートやアルバイト、社外であれば支払調書の発行先など。

すでに収集作業が終わったという事業者も、外注先で漏れがないかどうか再確認すべきだろう。SOHOや小規模事業者は、フリーライターやデザイナーなどを多く抱えているケースもあり、規模が小さいからといって集める個人番号が少ないとは限らない。

収集作業は相手あってのことだけに難航することもあり、思っている以上に時間と手間がかかる。とにかく早い対応が求められる。

<図2:マイナンバー運用の流れと実務作業の概要>

①個人番号収集

・収集対象は、従業員とその扶養家族、パートとアルバイト、取引先(支払調書の発行先)
・利用目的の明示。明示した用途以外での利用は不可
・本人確認の確実な履行(個人番号カード/通知カード+免許証またはパスポート等/個人番号記載の住民票+免許証またはパスポート等)

②利用・提供

・現状、「税」「社会保障」「災害」の行政書類での利用に限定

③保管(セキュリティ対策)

・番号管理者や取扱者の明確化
・ガイドラインに沿った適切な「安全管理措置」の遂行義務(※従業員100人以下の中小事業者には特例措置が適用され、安全管理措置は努力目標)

④廃棄

・不要となった際には、迅速かつ確実に番号情報(システム内に保存されたデジタルデータや個人番号記載の行政書類等)を廃棄
※「保管」と「廃棄」の間に、「開示・訂正・利用停止」などの作業が入るケースもある(個人情報保護法の取り扱いと同じ)

従業員が個人番号提出を拒否

この時期、大きな課題は、従業員や外注先から番号の提出を拒まれることだ。実は、行政書類に個人番号の記載が義務付けられているが、会社への番号提供は義務ではなく断ることも可能。このため提出拒否に頭を抱える事業者も少なくない。

個人番号を収集できなくとも事業者に罰則規定はないが、その収集は努力義務とされ、書類への番号を記載しなければならない以上、何とか提出してもらう必要がある。

それでも提出してもらえないケースでは、どうすればよいのか。税務関係書類では、「番号の記載がない場合でも受理することとしている」(国税庁HPのFAQ抜粋)との見解が示されている。個人番号の記載がなくとも、書類は受理されるようだ。

ただし、「事業者として何度も提出をお願いしたが結果としてもらえなかった」という努力義務を果たした記録を残す必要があるという。

具体的には、提出をお願いした経過記録を文書などにまとめると共に、拒んでいる従業員に拒否確認書をもらうなど、事業者として努力義務違反でないことを証明する。この際、何度も提出を促していることや、個人番号の管理体制を整備し安全性を説明することも欠かせない。

詳細については、書類の提出機関の指示に従うことが推奨されている。

一部、提出を断る従業員に対して関係書類の手続き代行の拒否を伝えたり、就業規則に盛り込んだりと、強制的な収集手法も見られるが、後々のトラブルを考えると避けたほうがよいという。

■利用・提供

個人番号の②利用・提供は、前述の通り、当面は「税金」「社会保障」「災害」に限定される。

記憶に残っていることと思われるが、2015年末に配布された「2016年分扶養控除等申告書」には、マイナンバーの記載欄が追加されていた。この時は、個人番号の通知や収集が終わっていないこともあり、記載がなくとも問題はなかった。以降、退職者が出た場合などに必要に応じて個人番号を使うといった運用がほとんど。

だが、この年末からは2016年分の源泉徴収票や2017年分の扶養控除等申告書などの作成で、番号利用は本番を迎えることになる。

この利用・運用に備えて確認すべきポイントは、自社内で個人番号の記載が必要な行政書類を洗い出しておくことだ。

記載を要する行政書類は、制度スタート当初から変更されている。施行直前に、個人に通知する源泉徴収票への番号記載が不要となった他、2016年4月以降は給与所得者の「保険料控除申告書」や「配偶者特別控除申告書」なども記載不要である。

さらに、2017年1月1日以降に番号記載が不要となる行政書類もかなりの数がある。事前にチェックしておきたい。

なお、個人番号の利用にあたっては収集時に明示した用途以外に使うことができない。番号を提出してもらう際には特定の目的に限定せず、幅広い目的で使えるようにすることが運用の利便性アップにもつながる。

■保管(セキュリティ対策)

マイナンバー制度対策の軸とされる実務が、③保管(セキュリティ対策)である。というのも、同制度では「個人番号は最重要の『特定個人情報』である」とされており、これを預かる事業者にはその厳重管理が求められているからだ。

これを実現するものとして、内閣府外局の特定個人情報保護委員会は「安全管理措置ガイドライン」(図3)を策定。ここでは、個人番号を安全に管理・保管するために取り組むべき措置がまとめられている。

ただし、従業員100人以下の中小事業者に対しては、特例措置としてガイドラインは義務ではなく、努力目標としての対応が適用される。

とはいえ、個人番号が漏えいするような不祥事を起こした場合、その重大度が大きければ、大手企業や中小事業者、個人事業などに関係なく厳しい罰則が科される。

<図3:特定個人情報保護委員会による「安全管理措置ガイドライン」の概要>

基本方針の策定/取扱規定等の策定

組織的安全管理措置

・組織体制の整備
・取扱規定等に基づく運用
・取り扱い状況を確認する手段の整備
・情報漏えい等事案に対応する体制の整備
・取り扱い状況の把握、および安全管理措置の見直し

人的安全管理措置

・事務取扱担当者の監督
・事務取扱担当者の教育

物理的安全管理措置

・特定個人情報を取り扱う区域の管理
・機器および電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏えい等の予防
・個人番号の削除、機器および電子媒体等の廃棄

技術的安全管理措置

・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏えい等の防止

個人番号のリスクとは

そもそも、個人番号は12桁の数字の羅列にしか過ぎない。番号が漏えいしたからといって、それだけで危険なわけではない。

リスクは、個人番号を索引(キーワード)として、さまざまな個人情報の名寄せに悪用されること。番号に氏名や住所、家族構成、給与情報、銀行口座番号などが紐づいた情報は金銭さく取を企てる犯罪者にとって大きな価値を持つからだ。

しかも、情報の重要度は犯罪者にとっての価値で決まる。「大企業でないから」「重要なデータはない」といった規模や知名度は関係ない。実際、「大手企業の情報を盗むため、取引先の下請け事業者に攻撃をかける例が増えている」(セキュリティソフトメーカー)という。

この意味で、マイナンバー対策とは個人番号はもちろん、改めて社内に有するすべての個人情報のセキュリティ対策を見直すことといえる。

ガイドラインを参考に環境構築

個人暗号の安全な保管だけを考えれば、集めた番号をペーパーリストとして金庫で一括保管し、専任者だけがアクセスするという方法も認められる。だが、これだけ業務にITが普及していることを考えれば、現実的ではないだろう。

あるいは、個人番号の利用・管理をすべて税理士や業者に任せることも考え方の1つだが、マイナンバー運用のノウハウは社内に蓄積されない。

「将来のビジネスチャンスに備える」という点では、自社システムで個人番号を管理したい。今後、マイナンバー制度の活用範囲が広がった時に役立つはずだ。

そして、セキュリティを講じる上で有効な対策が、前述の安全管理措置ガイドラインである。特例が適用される中小事業者にとっては努力目標であることを利用し、「ガイドラインの大事なポイントを抜き出して、セキュリティ環境を整える」だけでも、安全性が格段にアップすることは、セキュリティ専門家の推奨手法である。

ポイントは、大きく「外部からの不正アクセス対策」「情報漏えいの防止対策」「機密データへのアクセス管理」の3つ。これらを実現するための取り組みや機器を、ガイドラインをベースにまとめたのが図4だ。

漏えいの大きなリスク要因となる悪意を持つ犯罪者による不正アクセスには最新の総合セキュリティソフトで対策。その上でPCやサーバー内だけでなく、外付けHDDやポータブル記憶メディアなども暗号化することで、情報ファイルを守る仕組みを構築すること大枠となる。

加えて、専任担当者以外の重要情報へのアクセスを制限して、物理的な犯行による情報の持ち出しリスクを防ぐというわけだ。

56_016

■廃棄

法律で限定的に明記された場合を除いて、従業員の退職などにより不要となった個人番号は確実に④廃棄しなければならない。

その方法は、「復元できない手段で削除または廃棄する」こととされており、紙やディスクなどはシュレッダーなどにより細かく破砕し、PCの場合にはデータ消去ソフトなどによる完全削除が望まれている。

個人番号を記載した行政書類も法定保存期間を経過した時点で、すみやかに廃棄することが必要となる。

ただし、事情により廃棄できない場合、個人番号が記載された部分を復元できないようマスキングや削除することにより、書類を保管しておくことが可能だ。

なお、個人番号の処分を外部委託した場合は、業者が確実に削除や廃棄したことを確認できる証明書をもらっておくことも覚えておきたい。