マイナンバーの民間企業への影響について | Security, time after time II
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

Security, time after time II

情報セキュリティについてのあれこれ。テクノロジー、法制度、安全保障、経営とマネジメントなどなど。




※ブログにおける記述・発言等は私見であり、所属組織等の見解ではありません。

マイナンバーの民間企業への影響について

こんにちは北野です。なんて長い間更新をサボっていたのか。。。理由はまたそのうちに。

さて昨年は政府機関や自治体での特定個人情報保護評価が話題になりましたが、そろそろ民間企業の方々がマイナンバーの導入について検討を始めたようです。政府のスケジュールによれば今年(2015年)の秋には個人番号が発番され、2016年のはじめからは法定調書に番号を入れるように、ということなので、そろそろ時間がなくなってきているということでしょう。

民 間企業で主に影響を受ける業務は人事・給与業務です。給与計算事務では、税務署や地方自治体、年金事務所といった関係機関に提出する法定調書や各種届など についてマイナンバーの新たな追記が必要となりますし、健康保険、厚生年金保険、雇用保険における被保険者資格の取得・喪失などの届出を行う場合の手続き を行う際にも、マイナンバーの記載が必要になります。そんなわけで最近は人事部門の方が気にされているようですね。また銀行・証券・保険などの金融機関に ついてはその商品やサービスによって個人の方にお金の支払いが発生するので、別の法定調書等が発生することになります。まずマイナンバーを入れる必要がある法定調書等はどれなのか、をもれなく確認するところから始める必要があります。そのうえで、マイナンバーをどの時点で記入し、提出するのかなどの関連業務プロセスの変更も早めに検討・設計しなければなりません。

マイナンバー情報の取り扱いについては、民間事業者むけの取り扱いガイドラインとして、内閣官房のサイトに「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が公開されています。(金融機関むけは別にあります)

番号法では、民間向けの個人情報保護法と違って「情報を持ち出して売った人」に対しては直接の刑事罰がありますし、両罰規定が導入され、雇っていた企業にも罰則が科される可能性があるのが、気になるところです。特に派遣業などでは重大な事業リスクになる可能性があると思います。(例:個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供すると、4年以下の懲役若しくは200万円以下の罰金又は併科<第67条>) 注① 

1. 収集について:
マイナンバーの情報はまずどうやって安全に効率良く収集するか、が課題になるでしょう。特に従業者数の多い大企業や、非正規雇用の従業者が多い流通業などの分野では、短期間にかつ安全にマイナンバーを個人の方(及びその扶養家族などまで)から集める必要があります。しかも正しい番号であること確認する必要があるので、そのプロセスをどこに組み込むのか、がポイントになるところですね。番号の登録自体は専用のWebサイトで、個人の方々からセルフサービスで入れてもらうことは可能でしょうが、その番号の正しさ(間違った入力をしていないか?など)を確認するためには結局番号カードのコピーなどで人間がチェックするのか?といった問題が発生する可能性があるからです。同時にこのWebシステムはセキュリティ上も安全である必要があります。期日が迫り納期ギリギリで作ったWebサイトだからといって、アプリケーションに脆弱性を残すわけにはいかないのです。

また、こうしたWeb形式を用いるとすれば、法的にはガイドラインで「特定の個人と同一の者であることが明らかな場合(規3⑤)」と示されているような、番号カードを使った本人確認を「要しない」とされる要件に適合するとみなせるかどうか、も気になっています。

2. 保管と安全管理について
三輪さんが日経BPの記事で説明しているように、機微度の高い個人情報としての安全管理措置はきちんと行う必要があります。昨年の大量漏えい事件の状況を考えれば、今後3-5年の間に「マイナンバー付き個人情報リスト」が販売されるようなことが発生し得るわけです。
マイナンバーは企業では主に人事給与システムで管理されることが多いでしょうから、そのアプリケーションにおけるアクセスコントロール機能と、バックエンドにあるデータベースの保護は従来よりも厳密に行う必要が出てくると考えられます。

人事パッケージベンダーの法制度対応では単にマイナンバーを格納するスペース(DB上はカラム)と表示画面や帳票への追加を行う程度で終わるかも知れません。しかし人事部門の人であっても仕事上必要がなければマイナンバーは表示されないようにしたほうが良いですし、データベース側の権限も限定すべきでしょう。当然内部不正だけでなく、標的型攻撃などによる外部からの不正アクセスも視野に入れる必要があります。ログの収集や保全も見直したほうが良いかもしれません。

さらに、社員(正規雇用)の情報は人事システムにあるとしても、非正規雇用の人の情報は全く別の管理が行われている会社も多いと思います。業種によってはほとんど現場や事業部別にしか管理されていない場合もあるでしょう。そうした非正規の人達のマイナンバー情報をどう安全に管理するか、も考えておく必要があります。(非正規の方用のデータベースを構築するとか、これを機に人事システムに入れるとか、検討のための選択肢はいくつかあるでしょう。)

こうした点は、単なる「マイナンバー対応」という視点では、企業にとって大きなシステム投資をするモチベーションが生まれにくいと想像されます。しかし、刑事罰のリスクもあることですし、これを従業者の個人情報保護を見直し・改善する良いきっかけにして頂ければ良いのではないかと思います。ただし今年の秋頃に各社の対応が集中すると、システムを改修したくても作業を請け負うシステムベンダーやSI企業側で技術者人材の枯渇が起こり、困る場面が出てくるのではないかという点も少し心配しています。

注①:行政機関向けの個人情報保護法では、直接個人に対する罰則があります。(受託して作業する民間人にも適用されます)