マイナンバー導入までに企業が行うべきこと

マイナンバーが話題になる理由

企業にとって、マイナンバー制度への対応を見過ごすことができない大きなポイントは、適用対象が「原則すべての事業者」であることです。個人情報保護法においては取り扱う個人情報の量（5千件以上が目安）によって個人情報取扱事業者であるどうかを定めていますが、マイナンバー制度においてはマイナンバーを扱う全ての事業者がその対象となります。つまり、個人情報取扱事業者ではない企業だったとしても、最低限の対応は必要不可欠なのです。

マイナンバー制度における、情報漏洩の罰則

マイナンバー制度での罰則は「利用目的に反して漏洩、または不正取得を行った」などの事案に伴う内容となっていて、至って違和感のないものといえます。

しかしながら一般的には、法律で規定される罰則が適用になるほどの事態に陥った場合、それと前後して民事訴訟の提起に損害賠償請求などが発生し、これが社内外にさまざまな影響を及ぼすことが多いのです。マイナンバー制度の場合は、この訴訟が社員による提起となる可能性が高いところがポイントとなります。したがって、個人情報保護法への対応と同等、あるいはそれ以上に、情報漏洩に伴って社員に不利益が生じるような事故が起きないような日常業務の運用設計を検討することが必要になります。

漏洩を未然に防ぐためにできること

では、「利用目的に反して漏洩、または不正取得を行う」というのは、どのようなところで起きうるのでしょうか。

日々世界中で発生する情報漏洩事故の原因は、内部関係者の行為に起因するものと、不正アクセスやマルウェアなどの外的要因によるものの2つに大別されています。マイナンバー制度による業務が始まるまえに、それぞれにおける検討ポイントを確認しましょう。

内部不正に備えての対応社内の誰もが、当然のように手に入る情報とならないように、利用用途や利用できる人物の管理を徹底することが必要となります。つまり、マイナンバーをどのような作業・手続きにおいて利用するものなのかを明確にし、利用する人の制限および確実な本人認証をすることが肝要ということです。

また、昨今は事務作業をグループ子会社に集約、あるいはアウトソースしている企業もあるでしょう。こうした企業においては、雇用先ではない企業にマイナンバーを引き渡すことを疑問視されないように準備をしておきましょう。出向者の派遣・被派遣が多い場合も同様となります。

外部攻撃などに備えての対応2015年の2月にも、アメリカの保険会社へのサイバー攻撃により、いわゆるマイナンバーと同様の「社会保障番号」の漏洩事故が発生しています。こうした事故では、住所氏名や信用履歴、医療記録、資産情報なども漏洩しているか否かが焦点となります。日本のマイナンバーはまだまだ利用範囲が狭いとはいえ、たとえ簡易な表での管理だとしても、ファイルやフォルダ、保管場所、そして過去情報の保管期限に留意した運用検討を行いましょう。

また外部へのWebサービス提供などを行っている企業においては、各種サービスの脆弱性診断の実施や診断結果への対応も改めて確認しておいたほうが良いでしょう。

今のうちにセキュリティ対策をもう一度見なおそうマイナンバー制度の導入は間近になり、企業の対応が迫られています。マイナンバーは、今後さまざまな個人情報と紐づくことが予想されます。その分取り扱いには注意が必要で、罰則も厳しくなっています。個人情報保護法を意識した情報セキュリティ対策を施していた企業はもちろん、個人情報はほとんど取り扱っていなかった企業であったとしても、マイナンバーのための情報セキュリティの対策をしなければなりません。社内全体のセキュリティ対策となりますので、対応には時間がかかる可能性もあります。早めに社内のセキュリティ対策を見返し、十分な対策ができているか確認してみてはいかがでしょうか。

【参照】

内閣官房「マイナンバー　社会保障・税番号制度」FAQ（5）個人情報の保護に関する質問

内閣官房「マイナンバー　社会保障・税番号制度」FAQ（2）民間事業者における取扱いに関する質問