マイナンバー制度に向けた情報セキュリティ強化

コラムカテゴリー:

 マイナンバー制度導入まで約半年となりました。

 これまでのコラムでもマイナンバーについて取り上げていますが、まだまだ十分に周知されていないと感じることがあります。
 地域や企業規模にもよりますが、最近の調査でも約7割の企業で準備が進んでいない、という結果もありました。
 企業側での準備が進まない背景には、そもそも制度がよく分からない、何をしたらよいのか分からない、というケースも多いようです。

 一方で、先日の日本年金機構の情報漏えい事件もあり、マイナンバー制度の情報管理について懸念する声も挙がっています。

そこで今回は、企業が準備すべきことのガイドラインから、「情報セキュリティの強化」という観点で関連する部分をご紹介いたします。

 まず、マイナンバー対応の基本として、マイナンバー4か条と言われるものがあります。

 ①「取得・利用・提供のルール」、②「保管・廃棄のルール」、③「委託のルール」、④「安全管理措置のルール」、の4つです。
 これは、特定個人情報保護委員会がとりまとめた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を理解しやすくするために整理されたものです。特定個人情報保護委員会というのは、マイナンバー法に基づいて設置されている内閣府外局の第三者機関ですので、そこから出されているガイドラインは有用と考えられます。

 そのなかの④「安全管理措置のルール」において、情報セキュリティに焦点があてられています。

 では、その中身を見てみましょう。

 まず、基本方針を策定することが重要であるとされています。法令上、必須ではありませんが、周知・教育にも有効ですので、策定することが望ましいです。

 続いて、取扱規程等を策定しなければならない、とされています。こちらは法令上も必須の内容と考えられます。マイナンバーを含む情報を取り扱ううえでの具体的な手続や手順を定めないと適切な取扱いが担保されないため、法令上も必須事項として求められているのでしょう。
 既存の規程にマイナンバーに関する内容を追加する等の対応も考えられます。そのほうが、策定の負担が軽減できることが多いのではないでしょうか。

 上記の方針、規程等を踏まえたうえで、下記の4つ安全管理措置を整備することが求められています。

・組織的安全管理措置 :組織体制の整備や責任の明確化など

・人的安全管理措置  :従業員の管理監督、教育など

・物理的安全管理措置 :情報を取り扱う区域の管理や、情報機器類の管理など

・技術的安全管理措置 :情報機器類へのアクセス認証や不正アクセス防止など

 ただし、各安全管理措置で具体的に何をするように、と定められているわけではなく、規模や事務の特性等により、適切な手法を採用するようにと、柔軟性をもった記述になっています。

 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」には、法令上、対応が必須と考えられる内容が下線付きでわかりやすく示されています。マイナンバー対応を検討される際にご参照されることをお勧めいたします。

「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf

 なお、ガイドラインでは中小規模事業者に対しては特例を設け、【中小規模事業者における対応方法】としてまとめられています。ただし、個人情報取扱事業者や、金融分野の事業者、等はその特例の対象から除外されますのでご留意ください。

 マイナンバー4か条についてや、中小規模事業者における各安全管理措置について、下記のガイドラインにコンパクトにまとまっています。マイナンバーについてよくわからない、というかたも、最低限、この内容を確認して必要な対応を確認することをお勧めいたします。

「中小企業向けはじめてのマイナンバーガイドライン」
http://www.ppc.go.jp/files/pdf/270213chusho.pdf

今後も新たなルールやガイドラインが発表される可能性があります。継続的に動向をおさえ、必要な対策を適時、適切にとれるような取り組みが求められます。

<関連コラム>
マイナンバー制度でシステムはどう変わる?
http://www.asckk.co.jp/archives/column/id129

関連サービス

ITインフラクリニック
システムアドバイザリーサービス

2016年06月16日 (木)

青山システムコンサルティング株式会社

その他