マイナンバーガイドラインの厳しい安全管理措置

  • 2015/11/6
  • マイナンバーガイドラインの厳しい安全管理措置 はコメントを受け付けていません
2015/11/06

次々と番号管理ビジネス

このところ、「マイナンバーの管理」をビジネスにした新聞報道を頻繁に目にするようになりました。マイナンバーを取り扱う際には民間は取り扱い担当者(担当セクション)を指定して特定の従業者しか番号に触れないように仕組みを構築しなければなりません。そうした企業の負担を軽減するために、専用のシステムを提供したり、関連事務を代行するサービスを提供するというものです。

 

最近取り上げられたものでいえば、たとえば、富士通が挙げられます。富士通は群馬銀行と滋賀銀行からマイナンバーを管理するシステムを受注しました。預金者などから取得したマイナンバーを厳重に管理する。「預金管理などの既存システムと連携して取引報告などの法定調書にマイナンバーを記載することもできる」といいます。両行からの受注を弾みにして全国の金融機関に売り込んでゆくというものです。

 

 給与計算代行のエコミックの場合はマイナンバーの収集代行サービスを計画しています。マイナンバー関連事務のうち、対象者からマイナンバーを取得し、安全に保管するというのは負担が大きいのです。エコミックは企業や団体に代わり従業員や職員からマイナンバーと個人の身元を確認できる書類などを収集し、コンピューターに入力し、管理するまでの作業を手掛けるそうです。同社は「事業者の代わりに「返信用の封筒などを入れたキット」を従業員に送り、回収・入力を代行するとのことです。

 

 果たして、対象になる従業員が抵抗感なく、事業者に返信用の封筒に所要のデータ類を入れて送り返してくるものなのかどうか。いろいろ工夫が必要な気がしますが、こういうマイナンバー取得代行の成否には注目していきたいと思います。

 

 NECが売り出す「マイナンバー安心セット」は同社の得意技術である顔認証によるアクセス制限です。マイナンバー制度では特定の人物しかシステムに触れないようにする安全措置が必要ですが、「安心セット」では、パソコンで使用者の顔写真を事前に登録しておき、未登録の顔がカメラに写り込むと、「のぞき込み」と判断し画面を閉じるのだそうです。端末の操作状況を常に監視するシステムも提供して、未承認のUSBメモリーをパソコンに差し込んで番号を抜き取ろうとすると、システム管理者のパソコン画面に「異常」の警告が表示されるのです。

 

そのほか、さまざまな企業が、暗号化ソフトを組み合わせた番号管理システムや既存の会計システムに別に保管した番号を必要時に自動で帳票に書き込むソフトなどを提供することを発表しています。

負担厳しい安全管理措置負、周辺ビジネス登場の背景

マイナンバーは国内に居住する人に、原則的に1人、生涯1番号が割り振られて使用します。これによって、当初は社会保障と税に関して、行政事務処理上で必要になった際には、別々に保管されている個人データを参照して効率的に処理を行います。行政の無駄を省き、国民に公平な負担を求めるとともに、公平に便益を提供するのが目的です。

 

「番号が人に知られたら大変だ」と、過剰に危険を感じる向きもいますが、実は番号自体は名前と同じで、それ自体では意味を持たないので盗まれてもどうということはありません。ただ、当人の他の個人データと紐づいている(マイナンバーと一緒の個人情報は特定個人情報と呼ぶ)と多少、意味は出て来ます。他の場所で、同様にその人のマイナンバーと個人情報が紐づけられた「特定個人情報」が流出していて、それが組みあわされると、何か意味のある情報になる場合もあります。1生涯で同じ番号を使うとなると、想定していない事態も出現してこないとは限りません。

 

従って、万一のリスクを考慮すれば、マイナンバーの取り扱いには厳格な枠をはめる必要があるのです。

 

個人情報にマイナンバーが加わった「特定個人情報」は適切に取り扱う有資格者による限定された業務以外の場所に流出することを防ぐ措置を講じなければなりません。特定個人情報の取り扱いには、過剰なほどの厳格な保護措置を講じて、マイナンバーの世界が、機微情報などの個人にとって他人に絶対に知られたくない「プライバシー」の侵害につながるような事態にならないようにがんじがらめの取り扱い制約を設けているのはこのためです。

 

 特定個人情報保護委員会のガイドラインの安全管理措置の規定では「個人番号及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません」と要求しています。

 

 そのために、マイナンバーを取り扱う事業所(事実上すべての企業や団体)は次のような措置を講じなければならなりません。

 

➀基本方針の策定 「特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です」。

 

②取り扱い規程等の策定 「特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません」。

 

③組織的安全管理措置 「組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し」。

 

 ④人的安全管理措置 「事務取扱担当者の監督・教育」

 

 ⑤物理的安全管理措 「特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏えい等の防止、個人番号の削除、機器及び電子媒体等の廃棄」。

 

 ⑥技術的安全管理措置 「アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止」

 

ただし、こうした規定を厳密に順守しようとすると、中小事業所には負担が過大になることが予想されます。このために、中小事業所にはいくつか軽減措置が講じられています。その内容については別の機会に譲りますが、中小事業所のみならず、大手、中堅企業にも本業以外のところで業務が多数発生するので、その業務の一部を外部に委託し、本業に専念することを選ぶ企業も多く出てくると思われます。

中島 洋
1947年生まれ。東京大学大学院修了。73年日本経済新聞社入社、88年から編集委員。日経コンピュータ、日経パソコンの創刊にも参加。慶応義塾大学教授や日経BP社編集委員などを経て現在、株式会社MM総研代表取締役所長。日本個人情報管理協会理事長など多くの肩書を持つ。

 

所属:株式会社MM総研

関連記事

カテゴリー:

情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る