平成28年1月から社会保障、税、災害対策の3分野で行政機関などに提出する書類にマイナンバーの記載が必要となり本格始動したマイナンバー制度。事業者も税と社会保険の手続きでマイナンバーを利用するなど対応を求められるようになりました。
そんな中、多くの方が懸念しているのは「個人情報の漏えい」です。マイナンバーを取り扱う側である事業者にとって、仮にマイナンバーの情報を漏えい・紛失してしまった場合は社会的信用を失うことにも繋がりかねず、安全管理対策を徹底し外部への漏えい、紛失を絶対防ぐことは、マイナンバーの運用が定着した昨今において急務であると言えます。
安全管理対策として、①組織的安全管理措置、②人的安全管理措置、③物理的安全管理措置、④技術的安全管理措置の4つの措置が求められ、前者2つがソフト面、後者2つはハード面の対応と言えます。
今回は、事業者がマイナンバーの安全管理に関して行うべきハード面の対応について検討してみましょう。
1.取扱区域を管理する
事業者がマイナンバーや特定個人情報を安全に管理するため、講じるべき物理的な対策として、まず情報漏えいなどを防止するために、マイナンバーや特定個人情報を含むファイルと扱う情報システム、機器などを管理する領域(管理区域)及び担当者が事務を行う領域(取扱区域)を明確にし、出来るだけ隔離するなど、物理的な安全管理措置を講じなければなりません。
管理区域として、一定の区域を区分できる場合には、ICカードなどにより、入退室を徹底管理し、持ち込む機器などを制限することも肝要です。
また、取扱区域は間仕切りを設けたり、座席配置を工夫したりするなど、担当者以外からできる限り遠ざけるなどの措置を講じてください。
2.機器や電子媒体の管理
事業者は、マイナンバーや特定個人情報を取り扱う機器や電子媒体・書類などを施錠可能なキャビネットに保管し、マイナンバーや特定個人情報を取り扱うパソコンをセキュリティワイヤーで固定するなど、盗難や紛失を防止するための措置を実施する必要があります。
また、マイナンバーや特定個人情報を記載した電子媒体・書類などを持ち出す場合には、マイナンバーが容易に判明できない工夫をしたり、追跡可能な移送手段を利用したりするなど、情報漏えいを防止するための安全な方策を講じなければなりません。
具体的には、電子媒体であればデータの暗号化やパスワードによる保護、施錠できる搬送容器の使用など。書類であれば厳封や、目隠しシールを貼付するなどが考えられます。輸送する場合は、簡易書留などの追跡可能な方法を選択しましょう。
なお、持ち出しは、管理区域や取扱区域からの外への移動を指しますので、たとえ社内であっても同様に留意してください。
3.マイナンバーの削除
事業者は、マイナンバーや特定個人情報に関する事務を行う必要がなくなった場合で、法令に定められた保存期間を経過したときは、マイナンバーをできるだけ速やかに復元できない方法で廃棄または削除しなければなりません。
その際には、廃棄または削除した旨の記録を保存しておくことも重要です。
外部に委託した場合には、委託先が確実に廃棄または削除したことを証明書などで確認する必要があります。
書類などを廃棄する場合には、焼却または溶解などの復元不可能な方法を採用します。
復元不可能な状態に裁断することが可能であれば、シュレッダーで裁断する方法でも構いません。
また、書類に記載されたマイナンバーのみを削除するような場合には、その部分を復元できない程度にマスキングするか、切り取る必要があります。
マイナンバーや特定個人情報が記録されたパソコンやCD-ROMなどの機器や電子媒体等であれば、専用のソフトウェアで削除したり、専門業者に依頼して物理的に破壊したりする方法を採用して下さい。
マイナンバーや特定個人情報を取り扱う情報システムを利用する場合には、保存期間経過後にマイナンバーの削除を前提とした情報システムを利用することが現実的です。
マイナンバーが記載された書類などについては、保存期間経過後に廃棄または削除を前提とした手続きを定めておきましょう。
4.アクセス制御・識別・認証
次に、事業者がマイナンバーや特定個人情報を安全に管理するため、講じるべき技術的な対策として、事業者は、情報システムを利用してマイナンバーや特定個人情報を取り扱う事務をする場合には、適切なアクセス制御を行わなければなりません。
アクセス制御の方法としては、マイナンバーと紐づけてアクセスできる情報を限定、特定個人情報ファイルを取り扱う情報システムを限定、ユーザーIDにアクセス権限を付与することによって情報システムを使用できる担当者を限定するなどが挙げられます。
マイナンバーや特定個人情報を取り扱う情報システムには、ユーザーID、パスワード、磁器・ICカード、生体情報などにより、正当なアクセス権限を持つ者と識別した上で認証する機能が必要です。
5.外部からの不正アクセス・情報漏えいの防止
事業者は外部からの不正アクセスや不正ソフトウェアから情報システムを保護する仕組みを導入し、適切に運用しなければなりません。具体的にはファイアウォールの設置、ウィルス対策ソフトウェアのインストールなどです。
また、マイナンバーや特定個人情報を、インターネットを通じて外部に送信する場合、通信経路における情報漏えいを防止するための措置を講じる必要があります。
防御策としては、通信経路の暗号化や、データの暗号化またはパスワードで保護することなどが考えられます。
6.まとめ
中小事業者については、取り扱うマイナンバーや特定個人情報が少なく、取り扱う担当者も限定的であると考えられます。そのため特例的に、マイナンバーや特定個人情報の廃棄または削除については、責任ある立場の者が確認していれば問題ないとされています。
ただし、取扱区域の管理、機器や電子媒体の管理、外部からの不正アクセス・情報漏えいについては、中小事業者にもこれまで述べてきたような対策が求められます。
