マイナンバー開始前に必読、内部からの情報漏えい対策:セキュリティ強化塾(5/5 ページ)
絶対に漏えいしてはいけない従業員、その家族、取引先、株主のマイナンバー情報。ではどうやって対応すべきか。対策の要所を徹底解説する。
マイナンバーに対応するためのシステム更新は必要か
マイナンバー収集で苦労するのは一時のことだが、その保管や利用は今後も継続してコストがかかる。それを軽減してくれるのがITシステムだ。
上述のようなポイントをクリアするのは荷が重いと思われるかもしれない。しかし、関連業務にこれまでパッケージ(人事管理、会計管理、ERPなど)を利用している企業の場合、ベンダーが「マイナンバー対応」アドオンあるいはバージョンアップ版を提供してくれるケースが多い。
これにより、帳票への項目追加が簡単になると同時に、個人番号の安全な管理も可能になりそうだ。ただしアクセス制御などが安全管理義務を満たすかどうかは、個別に確認が必要だろう。ともあれ機能のアドオンやバージョンアップで事足りるなら、あまり対策コストはかからない。
既存システムに手を加えるか、専用システムを追加するか
パッケージ利用ではなく、スクラッチ開発のシステムを利用している場合、改修が必要な場合があるだろう。いずれは対応していくとしても一気に改修するのは大変だ。そこで、既存システムはそのままに、その外側に新たにマイナンバー管理システムを立てて、帳票を出力する際に既存システムからのデータにマイナンバーをその都度付加して出力する手がある。
これはマイナンバー対応ソリューションとしてSIerなどから提供されており、場合によってはシステムを自社で持たずとも、業者側のサービスを利用することもできる。特定個人情報は独立した専用システムだけに保管され他の業務でアクセスすることもないため、既存のワークフローやアクセス制御などを一切変えずに、安全なマイナンバー対応が可能になる。ただし、システム導入やサービス利用のコストはかかり、データを結合するための開発コストなどが発生する可能性はある。
マイナンバー管理を外部に委託する場合の注意点
マイナンバーの管理や運用は、必ずしも自社内で行うことはなく、外部のサービス業者に委託することができる。現在、マイナンバーの収集作業を代行する業者が増えており、社内に人手がない場合に好都合だ。この作業は2016年11月以降に発生するが、大量のマイナンバー収集を行うのはほとんど最初の1回限りになり、翌年以降は必要に応じて社内で対応を図ることができるだろう。
一過性の作業なら、これだけを外部に出すことは十分に合理的だ。また登録・保管・利用などの作業についても行うサービス業者があり、関連業務をすっかり委託することも可能になっている。コストと勘案して適切なアウトソーシングを検討したい。
なお、業務を委託したからといって、責任が外部業者に委譲されるわけではない。委託元は委託先について「安全管理措置が適切に講じられる」ように「必要かつ適切な監督」を行わなければならないと規定されている。これは、自社内で講じる義務があるものと同等の措置が、委託先でも講じられるように委託先を監督するということだ。監督は、具体的には適切な委託先を選び、安全管理措置に関する項目を含む委託契約を結び、特定個人情報の取扱状況を把握可能にすることを意味する。
委託先の選定の目安
委託先選定には経済産業省や金融庁のガイドラインに委託先選定基準があるので参考にするとよいが、現実的には、Pマーク、ISMS、ISO9001などの第三者認証を取得しているか否かが1つの目安になる。
委託契約
委託契約には、機密保持義務、目的外の特定個人情報利用の禁止、漏えいした場合の委託先の責任、再委託の条件などの内容を盛り込むことが義務付けられている。これに関しては、弁護士事務所をはじめマイナンバーのコンサルティング会社がひな型を提供してくれる場合があるので、相談してみるとよい。
取扱状況の把握
マイナンバー法のガイドラインでは「契約内容の順守状況について報告を求める」ことが義務として規定されている。また、委託元が委託先に対して実地の点検を行うことができることも規定されている(義務ではない)。基本的には書面での報告が得られればよいだろう。
企業グループ内での委託
少しややこしいのが、親会社が小会社のマイナンバー対応を受託する場合だ。図4に見るように、本社が支社の特定個人情報を取り扱うことには問題はないが、小会社が親会社に、あるいは子会社が子会社に取扱を委託する場合には、全て委託契約が必要だ。
また、同じグループ内であるといっても法人格をもつ会社同士は別々の会社であり、特定個人情報をグループ内の他社に提供したら、それは「第三者提供」となり、認められない。もちろん複数の会社による共同利用も不可だ。親会社が複数の子会社のマイナンバー取扱を受託した場合でも、互いに他社の情報にアクセスできないように制御する必要がある。
なお、グループ内での人事交流はよく行われるが、小会社Aから小会社Bにある人が転籍、出向して特定個人情報を小会社Aで取り扱う必要がなくなったら、小会社Aがデータベースからその人の情報を削除し、小会社Bが新規に登録する必要がある。親会社が子会社AからBにデータベースのアクセス制御を変更することはできない。
削除や新規登録の必要が技術的にはない場合でも、このような手続きをとらなければならないことに注意がいる。グループ内に取扱委託できるITサービス会社がある場合も同様だ。また外部への委託は親会社の責任で行うことになるが、委託元である子会社の許諾が必要となるから注意が必要である。
以上、今回はマイナンバー制度の安全管理措置を中心に、IT部門が知っておくべきポイントを紹介した。ITツールと業務受託サービスを上手に利用して、低コストでスムーズなマイナンバー制度対応を図りたい。
Copyright © ITmedia, Inc. All Rights Reserved.