2016年1月1日からいよいよスタートしたマイナンバー制度ですが、そろそろ従業員の皆さんの個人番号を集めた企業も多いのではないでしょうか。
反面、在職者については来年の確定申告時から必要になりますので、漏洩などのリスク回避の観点からまだ集めていない企業もあるかもしれません。
保管をする際の懸念点や注意点
ただいずれにしても税金や社会保障関係の書類に従業員の方の個人番号を記載して提出することは企業としての義務ですから、遅かれ早かれ個人番号を収集する機会がやってきます。
ちなみに労政時報第3901号によると、収集や削除・廃棄に比べて保管を外部へ業務委託をする割合が68.0%と最も高い結果となっています。
それだけ収集した個人番号を保管することに不安を抱いている企業が多いということでしょう。
ではマイナンバーを保管する際に具体的にどういうことに気をつけていけばいいのでしょうか。
[クラウドサービス]の場合
→(リスクへの対策)委託しているクラウド業者の安全管理措置の運用状況を絶えず監督する。
マイナンバーの外部委託の代表格とされているクラウドサービスを利用している企業は、ほどんど自社内にマイナンバーの情報は保持していないと思います。
言い換えるとマイナンバーなどの情報を自社で持つ必要がないことがクラウドサービスの売りですので、自社内からの漏洩は非常に考えづらいですよね。
ということで自社内に情報を持たないクラウドサービスに管理を委託している企業が想定できる、唯一で最大のリスクとしては「クラウド業者からの漏洩」が考えられます。
余談ですが、2016年の新年早々このような物騒な事件がありましたよね。
情報セキュリティー会社「アークン」(東京都千代田区)は12日、同社の顧客約3800社分の情報が何者かの不正アクセスによって盗み出された可能性が高い、と発表した。金銭を要求する封書も届き、同社は警視庁に届けるとともに、他に流出被害がないか詳しく調査している。流出した情報が悪用されたとの報告はないという。
同社によると、盗まれたのは会社名、住所、電話番号、メールアドレス、担当者名の5項目。金銭を支払わなければ情報を公開するという匿名の封書が今月4日に届き、不正アクセスが発覚したという。(朝日新聞デジタル:2016年1月12日掲載)
この事件がマイナンバー絡みであったかは不明ですが、今後1年に数回は上記のようなクラウド事業者を狙った攻撃に関するニュースが出てくることは間違いありません。
したがって皆様が委託しているクラウド業者のサーバーが日本の(世界の)どこにあるか分かりませんが、委託している間は絶えず監督することを怠ってはいけません。
万が一クラウド業者が漏洩させると、業者ではなく委託した皆さんの責任になりますのでお気をつけください。
[スタンドアロン型ソフトウェア]の場合
→(リスクへの対策)社内から漏洩しないように管理担当者を最低限にとどめておく。
スタンドアロン型ソフトウェアとは、当社で販売をしているソフトのようにインターネットに繋ぐ必要がなく、独立稼動型で作動するソフトウェアのことです。
利点としては月額費用が掛からないことや、ネットに繋いでいなければ外部からのサーバー攻撃を受ける可能性が全くないことがあげられます。
反面上記のクラウド業者と違いマイナンバーを社内で収集し、間違いがないように登録を行うことはデメリットであるといえます。
マイナンバーなどの情報を自社内に保有していることはメリットであり、デメリットであると考え方が分かれるところでしょうか。
マイナンバー管理ソフトウェアの中には初回のみネットに接続して市販のデータベースをダウンロードする必要がある場合もあります(下図参照)が、ネットに繋いだ際に管理ファイルが漏洩する恐れもありますから、データベースはPC内のローカルにだけ保持して初回から完全にネットに繋ぐ必要のないものを選ぶべきです。
▲ソフトウェアでもネット環境必須のものも多く、ネットに繋いだときに機密情報が漏洩する恐れがある。
またソフトウェア管理の際に考えられる最大のリスクは社内からの漏洩です。
「まさかうちに限って」なんて社長さんは言われますが、今の時代ご存知のとおり個人情報は信じられないくらいの高値で売買されています。
ですからソフトウェアがインストールされているPCの存在や管理権限はごく限られた方のみに設定するべきです。
理想としては責任者1名、担当者1名の体制ですね。
[紙やExcelで管理]の場合
→(リスクへの対策)セキュリティソフトに頼り切らない、利用記録を取ることを忘れない。
労政時報第3901号の企業アンケートによると、マイナンバー管理を「委託しない」と答えた企業の割合が38.8%と、「全部委託する(17.7%)」や「一部を委託する(37.6%)」を上回り最多でした。
まぁやりたくてやっているわけではないですから、無駄な費用や外注先を増やさないことは当然といえば当然です。
ですが、外部委託をしないということは管理の負担が激増してしまう傾向になります。
まず社外からの攻撃。
これは2015年に日本年金機構の125万件に及ぶ情報漏えいが大々的に報じられましたが、PC内にExcelで管理しているファイルをめがけて標的型の攻撃を仕掛けられるというものです。
どんなに最新版のセキュリティソフトを導入していてもマイナンバーなどの高く売れる情報はいとも簡単に抜き取られてしまいます。
くれぐれも「うちは最新型のNortonを入れているから大丈夫!」なんて甘く考えないようにお願いします。
本当に心配であれば、ネットに繋がないPCを用意して独立して管理するのも良いですね。
つづいて社内からの漏洩
どのくらい事実か分かりませんが、各媒体の報道によると金庫がバカ売れしているみたいです。
要は「外注したくないけど、PCだと標的型攻撃が怖い。だから紙に書いて金庫に保管しよう」という考え方です。
こちらは前述のソフトウェアでの管理と重複しますが、自社内に情報があると紛失したり書き写されて漏洩する恐れがありますよね。
ですから
・必要のないとき以外はマイナンバーが書かれた紙を外に出さないこと。
・急な外出や来客時は面倒でも一回一回金庫に保管すること。
この2つは徹底してください。
そうでないと一瞬で情報が漏れてしまい、企業の社会的信用が失墜します。
さらに義務ではありませんが、万が一情報が漏洩してしまったときの対抗策としてログ(記録)を取っておく、という方法もお勧めです。
ソフトウェアであれば下図のように自動で記録されますが、紙で管理する場合は誰も記録を取ってくれません。
マイナンバーは頻繁に使うものではありませんが、情報を取り出したり変更したりした場合は面倒でもきちんと記録を取ることをお忘れなく!
たかがログですが、万が一のときに皆さんの味方になってくれます。
いかがでしたか。
企業としてはマイナンバーを収集するだけでなく保管することも頭が痛い問題ですよね。
上記のことを参考に皆さんにとってぴったりな管理方法を見つけてみてください。
最後に
スタンドアロン型ソフトウェアのご案内です。
クラウド業者は監督するのが面倒だ!
紙ではログを取るのが億劫で、標的型攻撃を受けるのが不安だ!
という方に非常にお勧めです。
まずは無料体験版で扱いやすいか試してみてください!
無料体験版ダウンロードページ