コラム

 公開日: 2015-05-19  最終更新日: 2016-10-28

マイナンバー制度概要(5)-マイナンバーの安全管理措置

今回は委託先の監督を除く、マイナンバーの安全管理措置について確認します。
マイナンバーの管理体系(4)

なお、以下では幾つか具体的な手法を例示しておりますが、あくまでもどういったことを実現すればいいかをイメージしやすくすることを目的としており、例示した手法でなければいけない、というものではありません。
また、中小規模事業者については、事業内容や規模によっては特例的な対応を設けています。例示内容については上記と同様です。

安全管理措置の全体像

マイナンバー制度における安全管理措置の全体像は、以下の通りです。
安全管理措置の全体像

安全管理措置-基本方針

マイナンバーを含む特定個人情報等の適正な取扱いを確保するための、組織として取り組むべきことを定義します。例えば、以下の様な事項になります。
・安全管理措置の目的
・対象範囲
・法令等の遵守
・安全管理措置に関する事項
・質問や苦情処理の窓口
・責任者:経営者、担当役員


安全管理措置-取扱い規程等

取扱い規程を作成する前提として、冒頭に提示した管理体系の個々の管理段階ごと(マイナンバーの取得、利用、保管、開示・訂正・利用停止等、廃棄)に、以下の事項を確認する必要があります。

①マイナンバーを含む特定個人情報を取り扱う事務の特定

②①で特定した事務で取り扱う特定個人情報等の範囲(マイナンバーと関連付けて管理対象とする個人情報)の明確化

③①で特定した事務に従事する事務取扱担当者の明確化

その上で①の事務の流れを整理し、特定個人情報等の具体的な取扱いを取扱規程等にまとめる必要があります。

安全管理措置-組織的安全管理措置

組織的安全管理措置とは、従業者等の安全管理に対する責任や権限を明確にするとともに、整備した規程等に従った運用がされているか、実施状況を確認することです。事業者は、特定個人情報等を適正に取扱うため、以下の組織的安全管理措置を講じる必要があります。

a.組織体制の整備
安全管理措置を講ずるための組織体制として、マイナンバー取り扱い事務の責任者と責任範囲、担当者とその役割、規程等の違反や漏えい等の事故における連絡体制、等について明確にする必要があります。

b.取扱規程等に基づく運用
マイナンバーを含む特定個人情報を取り扱う事務において、取扱規程に定義した通りの運用が行われていることを確認できるようにするため、文書等の追加、利用、削除等の記録、または情報システムのログイン記録やアクセスログ等の利用状況を記録することが求められます。

c.取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するため、特定個人情報ファイルの名称、責任者/責任部署、利用目的、アクセス権限者、等を記録する手段を整備します。

d.情報漏えい等事案に対応する体制の整備
マイナンバー等の情報漏えいが発生、または兆候を把握した場合の報告連絡体制、及び対応体制を整備する必要があります。
こちらについては、既存の危機管理体制やセキュリティ体制等の類似体制を活用することも可能です。

e.取扱状況の把握及び安全管理措置の見直し
マイナンバーを含む特定個人情報の取扱い状況を確認の上、運用する安全管理措置に問題が無いかを評価し、見直し等を行う、いわゆるPDCAサイクルを適用して継続的な改善を行うことが必要です。マイナンバーについては、今後活用範囲が拡大する可能性があるため、改善サイクルを確立することで、タイムリーな制度変更にも対応することができるようになります。

安全管理措置-人的安全管理措置

人的安全仮措置とは、従業者等に対する特定個人情報との秘密保持に関する取決めや、関連する教育、訓練等の実施を指します。事業者は、マイナンバーを含む特定個人情報を適正に取扱うため、以下の様な人的安全管理措置を講じる必要があります。

a.事務取扱担当者の監督
事業者は、マイナンバーを含む特定個人情報等が規程等に沿って適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行わなければなりません。
例えば、雇用契約時における秘密保持契約の締結、就業規則への秘密保持に関する事項の追加等が考えられます。

b.事務取扱担当者の教育
事業者は、事務取扱担当者に対して、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う必要があります。
例えば、規程類の社内電子掲示板への掲載、定期的な集合研修やeラーニングの実施、等が考えられます。

安全管理措置-物理的安全管理措置

物理的安全管理措置とは、特定個人情報の取扱いや保管する領域の入退管理、機器や電子媒体等の管理に関する措置を指します。マイナンバーを含む特定個人情報を適正に取扱うため、以下の様な物理的安全管理措置を講じる必要があります。

a.特定個人情報等を取り扱う区域の管理
マイナンバーを含む特定個人情報等の情報漏えい等を防止するため、以下の区域を明確にし、入退管理を行います。
・特定個人情報等を取り扱う事務を実施する区域
・特定個人情報ファイルを取り扱う情報システムを管理する区域
実施内容として、上記区域に対するICカードやナンバーキーによる入退室管理システムの設置、電子媒体や機器等の持ち込み制限等が考えられます。中小企業においては、入退室記録の記入等で対応することも可能と考えます。また、事務を実施する区域については、壁やパーティションによる領域区分等も考えられます。

b.機器及び電子媒体等の盗難等の防止
a.で提示した区域において、マイナンバーを含む特定個人情報等を取扱う機器、電子媒体、書類等の盗難や紛失を防止するための措置を行います。
例えば、機器、電子媒体、書類等を使用しない場合は施錠可能なキャビネット等に保管する、等が考えられます。

c.電子媒体等を持ち出す場合の漏えい等の防止
マイナンバーを含む特定個人情報等は、a.で示した区域外への持ち出しは避けるべきですが、実務上電子媒体や書類等の形式で持ち出さざるを得ない場合、紛失や盗難等に遭っても内容が容易に読み取られないよう対応することが必要です。
例えば、持出しデータや媒体等に対する暗号化やパスワード設定、施錠した容器に収めての持出し、等が考えられます。

d.個人番号の削除、機器及び電子媒体等の廃棄
以前述べたように、マイナンバーは不要になった時点で削除、または廃棄する必要があります。作業に当たっては削除または廃棄の記録を残した上で、マイナンバー等の保管形式や削除・廃棄手順に応じて、復元不可能な手段で実施します。
文書類であれば、焼却や溶解等で処理します。外部委託する場合は、委託先が確実に削除、または廃棄したことを、証明書等により確認するという手段も考えられます。電子データの場合は、データ削除ツールの利用や、保存媒体の物理的に破壊することで対応します。

安全管理措置-技術的安全管理措置

技術的安全管理措置とは、マイナンバーを含む特定個人情報ファイルを扱う情報システムに対する措置になります。マイナンバーを含む特定個人情報を適正に取扱うため、以下の様な技術的安全管理措置を講じる必要があります。

a.アクセス制御
情報システムによってマイナンバーを含む特定個人情報ファイルを使用した業務等を行う場合、担当者の作業範囲や責任範囲に応じたアクセス制御を行う必要があります。その際には、組織的安全管理措置の内容と整合することが重要です。
また、システム管理者として特定個人情報ファイルに直接アクセス可能なデータベースツールやOSのアカウントに対するアクセス制御を行うことも必要です。
具体的な実施方法として、特定個人情報ファイルを使用する情報システムのユーザーID付与者はマイナンバー関連事務の担当者に限定し、それぞれのユーザーIDには担当者の職務に応じたアクセス権を付与することで実現可能です。中小企業の場合は、そもそも担当者が限定されていると想定されるため、特定個人情報ファイルにアクセスする機器自体を限定することも考え方の一つになります。

b.アクセス者の識別と認証
マイナンバーを含む特定個人情報等を操作する情報システムを使用する際には、適切な担当者であることを識別し、認証する機能を具備することが必要です。
具体的な認証方法として一般的なのはパスワードですが、その際にはパスワード自体を難しくすると同時に、何回も試行してパスワードを破られないよう、対処することが重要です。
例えば、以下の様なパスワード制御を行うことが考えられます。

・パスワード長:8桁以上
・複雑性:数字、記号、英大文字、英小文字の組合せ
・パスワード変更間隔:3ヵ月を目安
・初期パスワード:強制変更
・ロックアウト回数(パスワード誤入力):3~5回の誤入力でアカウント使用不可
・パスワード変更履歴:過去に使用したパスワードの使用不可

認証方法としてはパスワード以外にも、ICカード等の物理媒体を使用する認証、生体認証、及びその組み合わせ、といった手段が考えられます。
中小企業において、予算等の関係からアカウントが限定される場合は、使用記録を残すことで、誰が操作したかをわかるようにする方法も考えられます。

c.外部からの不正アクセス等の防止
マイナンバーを含む特定個人情報ファイルを使用する情報システムを外部ネットワークからの不正アクセスや不正ソフトウェアから保護するための措置を行う必要があります。その際には、該当する情報システムの保護だけではなく、内部ネットワーク全域を保護する仕組みを構築することが必要です。不正アクセスを試みる場合は、いきなり本丸を突くことはなく、脆弱な箇所から侵入し、そこを踏み台にして目標に達することが通常だからです。
具体的な対応手段としては、
・ファイアウォールの設置
・ウィルス対策ソフトウェアの導入とパターンファイルの最新化
・ログの定期的なモニタリング
等が考えられます。

d.情報漏えい等の防止
マイナンバーを含む特定個人情報ファイルの内容について、拠点間のやり取りをインターネット経由で行う場合は、通信経路における情報漏えい等を防止する必要があります。
具体的には、通信経路の暗号化、等が考えられます。また、特定個人情報ファイル自体の暗号化やパスワード保護といった手段も重要です。

マイナンバーの安全管理措置におけるポイント

マイナンバーの安全管理措置の内容については、過去に個人情報保護や情報セキュリティに対応する内容と重複する部分が大きいので、既存の仕組みをベースに追加修正を行うことで迅速に対応できる可能性があります。その際には、既存の仕組みについても再確認し、必要に応じて見直しを図ることが重要です。
マイナンバーであれ、顧客等の個人情報であれ、営業秘密情報であれ、企業として守るべき情報であるには変わりないので、共通的な枠組みをベースに、取扱う内容や部署によって差分を整備、運用することで全体の負荷を抑えることも可能になります。
また、情報システム主体で考えるとどうしても技術的安全管理措置に目が行きがちですが、安全管理措置は組織的、人的、物理的、技術的の4種類で成り立っているので、自社の事業環境や社内風土を加味してこの4種類のバランスを考えれば、コストや運用負荷を最適化することも可能になります。
大企業であれば管理件数や処理量が大きいことから、技術的安全管理措置への依存度を大きくせざるを得ませんが、技術的な対応はマイナンバー関連事務を含め、ある程度の期間が必要であり、コスト的にも大きな影響があるため、中小企業であれば、技術的安全管理措置の割合を抑え、他の安全管理措置の依存度を大きくすることも可能です。
マイナンバー制度の施行まで残り期間は短くなっていますが、まだ対応できない期間ではないと思います。マイナンバー制度は行政機関の事務を効率化するための仕組みなので、企業におけるマイナンバー関連業務は可能な限り限定化することが大きなポイントになると考えます。
もし、マイナンバー対応が間に合わなさそう、負荷が大きくなりそうと思われる場合、弊社に相談いただければ、支援いたしますので、お気軽に問合せください。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントではマイナンバー制度への対応を支援するコンサルティングサービスを提供します。詳細はこちらをご確認ください。
-->マイナンバー制度対応サービス(弊社ホームページにリンクします)

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

2

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ