マイナンバー対応は情報漏えい対策見直しのチャンス (後編)

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザーの佐々木伸彦です。

前編では、最近よく耳にするようになった「マイナンバー制度」の概要を説明し、行政事務だけでなく民間企業でも、特に総務人事やシステム面で対応が求められることと、マイナンバーを含む個人情報を守るための安全管理措置を講じる義務が生じることを紹介しました。

それを踏まえて、今回はマイナンバー制度ならではの注意点について触れたいと思います。

  • 「廃棄」も含めたライフサイクル全体にまたがる管理が必要に

繰り返しになりますが、マイナンバーとは、社会保障や税、災害対策という3分野の行政手続きを円滑に、効率的に進めることを目的に割り振られる12桁の番号のことで、2016年1月から正式に運用が開始されます。企業での税金や福利厚生に関わる手続き、例えば源泉徴収書の発行といった「個人番号関係事務」の処理に際しては、マイナンバーを記載することになります。

ここで大事なのは、社内で取り扱う従業員のマイナンバーが、外部からの不正アクセスや内部犯行によって漏えいしないよう保護することです。マイナンバーを含む個人情報は「特定個人情報」と位置付けられ、いっそう厳格な管理が求められます。もちろん基本的には、前回ご紹介した通り、マイナンバー制度以前から講じてきた個人情報保護の措置の延長線上で考え、対策を進めていけばいいのですが、いくつか注意が必要なポイントもあります。

その1つは、法令で定められた一定の保存期間が過ぎた後の「廃棄」「削除」というプロセスに目を配る必要があることです。つまり、マイナンバーのライフサイクル全体にまたがって管理していく必要があるということですね。

例えば、年末調整で提出される「扶養控除等申告書」には、従業員や家族のマイナンバーを記載することになります。この申告書の法定保存期間は7年となっており、その期間を過ぎれば速やかにマイナンバーを削除しなければなりません。また、削除や廃棄したこと「記録」し、それを保存する必要がある点にも注意が必要です。

  • 中小企業でも実現できる取り組みとは

また、個人情報保護法の対象となるのは、体系的に整理された個人情報を5000件以上保有する「個人情報取扱事業者」で、それよりも少ない件数の個人情報を扱う事業者は、民事上の責任はともかく、範囲外となっていました。しかしマイナンバーの場合、件数の大小にかかわらず、等しく安全管理措置が求められます。平たく言えば、中小企業であっても安全管理措置を実施する義務が生じるのです。

ここでお勧めしたいのが、まずは、特定個人情報保護委員会事務局がまとめた「中小企業向け はじめてのマイナンバーガイドライン」(PDFファイル。「特定個人情報保護委員会ウェブサイト」http://www.ppc.go.jp/notice/ へのリンク)を一読することです。これは、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の概要を噛み砕いて解説するものです。

私なりにその要点をまとめると、

「たとえ多額のお金をかけることはできなくても、情報管理の責任者を置き、Excelなどの手段でもかまわないのでしっかりマイナンバーを管理し、何らかの作業を行った場合はログ(記録)を残していきましょう」

ということになると思います。

エンドポイント向け対策ソフトの導入をはじめ、セキュリティ対策を実施した上で、マイナンバー対応を表明している人事・経理パッケージソフトウェアやクラウドサービスをうまく活用するのも1つの手です。

  • これまでの対策を見直し、底上げするチャンスに

と、いろいろ重たい話になりましたが、まずは関連ガイドラインをしっかり読んだ上でやるべきことをやっていけば、罰せられるようなことはないはずです。「マイナンバーがやってくる」という見出しに萎縮することなく、自社の情報資産を確認し、漏えいや不正アクセスに備え管理策を講じるという当たり前のことを、これまで通りにやっていけば大丈夫。むしろ、情報保護に関するこれまでの取り組みを点検し、見直すためのいいきっかけととらえるくらいの気持ちでいればいいのではないでしょうか。

マカフィーでは、そうした取り組みをお手伝いするため、Data Loss Prevention(DLP)や暗号化、あるいは不正アクセス検知やSIEMといった幅広いセキュリティソリューションをご用意しています。

McaAfee DLP製品では、4月21日にマイナンバーデータのフォーマットを認識し、漏えいを検出できるのするマイナンバー情報検出ソリューションを発表しました。マイナンバー対応にとどまらず、情報漏えい対策の底上げを図るために、ぜひ参考にしてください。

また、ここまで主に民間企業の視点からマイナンバー対応を解説してきましたが、地方公共団体でもマイナンバー制度開始に伴い、さまざまなセキュリティ対策の実施が求められることになります。指針の中では、ファイアウォールやウイルス対策、暗号化といったおなじみの対策が要件として挙げられています。マカフィーではこうした分野をカバーするソリューションを提供しさらにはエンドポイントと連動可能なサンドボックス製品も提供していますので、興味のある方はぜひ詳細をご覧ください。

関連情報: マイナンバー制度のスタートで重要度を増す総合セキュリティソリューション

著者: マカフィー株式会社 サイバー戦略室シニア・セキュリティ・アドバイザー 佐々木 伸彦