ビジネスお役立ち情報 > 企業のITセキュリティ講座 > 従業員の「マイナンバー」どう扱えばいいの?

企業のITセキュリティ講座企業のITセキュリティ講座

企業のITセキュリティ講座のトップへ

従業員の「マイナンバー」どう扱えばいいの?

マイナンバーの交付が始まり、企業もマイナンバーの実務に追われていることだろう。中堅・中小企業ではマイナンバーをどのように扱えばいいのか、あらためてまとめておきたい。

マイナンバーの実務がいよいよスタート。従業員・アルバイトなどのマイナンバー取得から

マイナンバー(社会保障・税番号制度)の通知カード送付が2015年10月から始まっている。企業でのマイナンバーの実務は2016年1月からスタートとなる。分からないことだらけで不安な人事担当者、経営者が多いだろう。しかしマイナンバーの扱いは、難しいことではない。マイナンバーの制度自体はシンプルで、「ひも付ける番号=マイナンバーを公的書類に記入し、しっかり管理すること」という一言に尽きる。具体的な例をまとめたのが下の図だ。

民間事業者がマイナンバーを使うシーン(内閣府:「マイナンバー 社会保障・税番号制度がはじまります! 中小企業のみなさんへ(入門編)」より)

民間事業者がマイナンバーを使うシーン(内閣府:「マイナンバー 社会保障・税番号制度がはじまります! 中小企業のみなさんへ(入門編)」(PDF)より)

内閣府:「マイナンバー 社会保障・税番号制度が始まります! 中小企業のみなさんへ(入門編)」
http://www.cas.go.jp/jp/seisaku/bangoseido/download/kojinjigyou.pdf

民間の事業者は、税と社会保険の手続きでマイナンバーを使うことになる。具体的にやることは三つだ。

民間事業者が行うマイナンバーの手続き

  • 従業員・アルバイト・取引先などのマイナンバー「取得」

    従業員とその家族、アルバイト、会計士や税理士、講演に招いた外部の人などのマイナンバーを取得する。

  • 公的書類への「記入」

    源泉徴収票、給与支払報告書、支払調書、厚生年金・健康保険・雇用保険・年金などの手続き書類にマイナンバーを記入して提出する。

  • 安全に扱うための四つのポイントを「実行」

    「マイナンバー取得の注意点」「利用・提供の限定」「保管・廃棄をしっかり行う」「安全管理措置」の四つのポイントを確認して実行する。

基本的にはこの三つのみであり、そう難しいことではない。1番目の「取得」は、2016年1月から早速始まる業務となる。

「マイナンバー取得の注意点」と「利用・提供の限定」「保管・廃棄」

まず、マイナンバーの取得では、従業員とその家族だけでなく、アルバイト・パート、取引した個人事業主(会計士、税理士、弁護士など)、講演に招いた人などが該当する。小売店などアルバイトの人数が多い場合は、マイナンバーの取得に手間が掛かることが予想されるので、担当者は準備をする必要があるだろう。

具体的には年始に短期アルバイトを雇ったなら、その人からマイナンバーを取得する必要がある。また講演や執筆などで、外部の有識者に報酬を支払う場合もマイナンバーの取得が必要だ。

さらに従業員の場合は、3月の退職、4月の新規採用などで、必ずマイナンバーの取得が必要になる。

マイナンバー取得の注意点をまとめたのが下の図だ。

事業者が注意すべき4つのポイント(内閣府:「マイナンバー 社会保障・税番号制度がはじまります! 中小企業のみなさんへ(入門編)」より)

マイナンバー取得時に事業者が注意すべきポイント(内閣府:「マイナンバー 社会保障・税番号制度が始まります! 中小企業のみなさんへ(入門編)」(PDF)より)

マイナンバー取得の注意点

  • あらかじめ利用目的を通知するか、公表することが必要。

  • 身元確認が必要。通知カードに加えて運転免許証やパスポートなどで身元確認する。もしくは個人番号カード(2016年1月から発行)があれば、それだけで確認できる。

  • 採用時に運転免許証などで本人確認をしている場合は対面確認のみで構わない。

このように決められた手続きのみに使うこと、取得の目的をはっきりと本人に伝えることが必要だ。また身元確認では、従業員なら対面確認のみでいいが、短期アルバイトなどでは運転免許証やパスポートなどが必要になることを頭に入れておきたい。短期アルバイトを雇うことが多い企業は、あらかじめ手続きのルールを作っておく必要があるだろう。

次のポイントは「利用・提供の限定」だ。

マイナンバーの利用・提供について

  • マイナンバーは税と社会保険の手続きのみに使用できる。

  • 社員番号や顧客管理番号としての利用はできない。

  • 個人番号カードの裏面にはマイナンバーが記載されるが、法律で認められた場合以外で、書き写したり、コピーを取ったりすることはできない。

あくまでマイナンバーは、税金や社会保険の手続きに使うものであって、それ以外の用途で利用することはできない。社員や顧客の管理に使うことはできないので注意したい。

併せて企業では取得したマイナンバーの保管・廃棄のルールも決められている。

マイナンバーの保管・廃棄

  • マイナンバーを含む個人情報は必要がある場合のみ保管できる(雇用契約など継続的な関係がある場合のみ)。

  • 必要がなくなったらマイナンバーを廃棄・削除する。

  • 廃棄や削除を前提に、書類やデータのファイリングの仕方を工夫する。シュレッダーをかける、ソフトの削除機能があるかなどを確認すること。

四つの「安全管理措置」。ファイアウォール、ウイルス対策ソフト、アクセス制限が必要に

マイナンバーを含めた個人情報漏えいを防ぐために、企業はあらかじめ組織として取り組むための「基本方針」を策定し、具体的な「取扱規程」を定めておく。この「基本方針」と「取扱規程」については、自社で作成しておく必要がある。大塚商会のWebサイトより「基本方針ひな形」「取扱規定ひな形」がダウンロードできる。これらも参考にしてほしい。

大塚商会:マイナンバー資料ダウンロード
https://www.otsuka-shokai.co.jp/products/mynumber/download/

そのうえで、企業は定められた「安全管理措置」を講じることが法律で定められている。安全管理措置は大きく分けて四つある。

安全管理措置1:組織的安全管理措置

  • 安全管理措置を講ずるための組織体制を整備する。事務取扱担当者が複数いる場合、責任者と事務取扱担当者を分けることが望ましい。

  • 取扱規程等に基づく運用状況を確認するため、システムログまたは利用実績を記録する。

  • 情報漏えい等事案に対応する体制を整備する。情報漏えいなどの事案の発生に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。

具体的にはマイナンバーの取扱責任者をはっきりさせること、そして担当者以外がマイナンバーを取り扱うことがないようにする。また情報漏えいなどが起きた場合に、責任者へ連絡して判断を仰ぐルールにするなど、危機管理の準備もしておく必要がある。

安全管理措置2:人的安全管理措置

  • 事業者は、特定個人情報等が取扱規程などに基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うこと。

  • 事業者は、事務取扱担当者に、特定個人情報等の適正な取り扱いを周知徹底するとともに適切な教育を行う。

従業員への教育・周知も大切だ。取扱責任者をセミナーなどに参加させて注意点を覚えさせること、従業員に対してマイナンバーの扱いに注意することなどを教育したい。

次の「物理的安全管理措置」と「技術的安全管理措置」については、具体的な方法を併せて紹介していく。

安全管理措置3:物理的安全管理措置

  • 特定個人情報等を取り扱う区域の管理

    マイナンバーを扱うエリアを決め、のぞき見などが発生しないようにする。エリアを限定してICカードなどで入退室管理をする、間仕切りを作るなどの処置が必要だ。

  • 機器および電子媒体等の盗難等の防止

    マイナンバーを扱う電子媒体・書類などは施錠できるキャビネットなどに保管すること。

  • 電子媒体等を持ち出す場合の漏えい等の防止

    マイナンバーをエリア外に持ち出す場合に、紛失・盗難対策としてデータの暗号化、パスワードによる保護を行う。一括して行えるソフトを利用するといいだろう。書類では封緘や目隠しシールを利用する。

  • マイナンバーの削除、機器および電子媒体等の廃棄

    マイナンバーが必要なくなった場合で、法令において定められている保存期間等を経過した場合には、できるだけ速やかに復元できない手段で削除または廃棄する。マイナンバーなどが記録されたハードディスクやメモリーを廃棄する場合は、専用のデータ削除ソフトウェアか、物理的な破壊など、復元不可能な手段を使う。また情報システムにおいては、保存期間経過後におけるマイナンバーの削除を前提とした情報システムを構築する。

事業者の対応例(内閣府:「マイナンバー 社会保障・税番号制度がはじまります! 中小企業のみなさんへ(入門編)」より)

技術的・物理的安全管理措置の対応例(内閣府:「マイナンバー 社会保障・税番号制度が始まります! 中小企業のみなさんへ(入門編)」(PDF)より)

安全管理措置4:技術的安全管理措置

  • アクセス制限

    取扱責任者だけがアクセスできるように限定する。具体的にはマイナンバーを扱う端末を限定し、ユーザーIDに付与するアクセス権により取扱担当者だけが使えるようにする。

  • アクセス者の識別と認証

    取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。具体的にはユーザーID、パスワード、磁気・ICカードなどが考えられる。

  • 外部からの不正アクセス等の防止

    情報システムを外部からの不正アクセス、または不正ソフトウェアから保護する仕組みを導入し、適切に運用する。具体的には以下のポイントになる。

→ 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

→ 情報システムおよび機器にセキュリティ対策ソフトウェア(ウイルス対策ソフトウェア等)を導入する。

→ 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。

→ 機器やソフトウェアに標準装備されている自動更新機能などの活用により、ソフトウェア等を最新状態とする。

→ ログ等の分析を定期的に行い、不正アクセス等を検知する。

  • 情報漏えい等の防止

    マイナンバーなどをインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。通信経路の暗号化、データの暗号化・パスワードの保護が欠かせない。

この「技術的安全管理措置」は、中堅・中小企業にとってハードルが高い部分かもしれない。しかしながら企業を狙う標的型攻撃などが増えているため、中堅・中小企業でもサイバー攻撃を受けて漏えいする危険性が高まっている。そのため「技術的安全管理措置」、つまり企業でのセキュリティを高めることは絶対的に必要なことだ。

マイナンバー制度スタートに合わせて、セキュリティ対策を高めることは欠かせない。この機会に会社全体でセキュリティを高めるシステムを導入することを検討すべきだろう。

具体的には「ファイアウォール」「ウイルス対策」「OSやアプリケーションの脆弱性対策」がマストで、加えて「データベースのアクセスログ取得」「ファイルサーバーへのアクセスログ取得」「ファイル閲覧制限」「外部持ち出し時の暗号化ソフト」などを導入することも検討してほしい。具体的な製品は、大塚商会でもリストしているので参考にしよう。

大塚商会:マイナンバー制度に向けて、企業は安全管理措置の見直しが必要です
https://www.otsuka-shokai.co.jp/products/mynumber/security/

テキスト/ITジャーナリスト・三上洋

企業のITセキュリティ講座