Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

マイナンバー保管・管理対策 ~物理的安全管理について~ 

マイナンバーの通知が開始されます

マイナンバーの通知が10月から開始されました。
実際に運用が開始されるのは来年の1月からですが、マイナンバーについてどういう対策をしたらよいのかわからない方もいるかと思います。
この記事では中小企業向けのマイナンバーの管理についてどの程度対策をしたらいいのかをご紹介させていただきます。全2回の予定です。

マイナンバーについての説明は内閣官房のサイトについて説明がされていますので詳細は省きます。
ざっくりと説明致しますと・・・

マイナンバー(個人番号)とは、国民一人一人が持つ12ケタの番号のことです。

マイナンバー制度を導入することによって、「行政の効率化」「国民の利便性の向上」「公平・公正な社会の実現」というメリットがあります。
主に、行政手続きの簡素化や管理の向上、それに伴ったサービスの提供ができるようになります。

平成28年10月から住民票を有するすべての人に、一人一つのマイナンバーが通知されます。
通知が始まるのは10月からですが、実際に行政手続きで必要になるのは平成29年1月からとなっています。
マイナンバーが必要な行政手続きは、下記の3つになります。

  • 年金・医療保険・雇用保険・福祉に関する社会保障
  • 税金
  • 災害対策

上記以外の手続きで使用することは原則として禁止されています。

企業内で、社会保障や税金の手続きをするために使用したマイナンバーを適切に保管する必要があります。

マイナンバーの保管について

マイナンバーの保管詳細については特定個人情報保護法のガイドラインをご確認ください。
下記の4つの安全措置を検討し実施する必要がございます。

1. 組織的安全管理措置
この項目では個人情報・マイナンバーの取り扱いを組織的にどのように運用するか定めていくことを示しています。

  • 組織体制の整備
  • 取扱規程等に基づく運用
  • 取扱状況を確認する手段の整備
  • 情報漏洩事案に対応する体制の整備
  • 取扱状況把握及び安全管理措置の見直し

具体的には情報を取り扱う担当者を決める。情報漏えいした場合の従業員から責任者への報告体制を整備します。

2. 人的安全管理措置
この項目では個人情報・マイナンバーを取り扱う担当者が適切な取り扱いをしているか監視をすることや、個人情報を取り扱いするにあたっての注意事項などを従業員に徹底させることを示しています。

  • 事務取扱担当者の監督
  • 事務取扱担当者の教育

3. 物理的安全管理措置

  • 特定個人情報等を取り扱う区域の管理
  • 機器及び電子媒体等の盗難等の防止
  • 電子媒体等を持ち出す場合の漏洩等の防止
  • 個人番号の削除、機器及び電子媒体等の廃棄

4. 技術的安全管理措置

  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報漏洩等の防止

上記のなかで特に3.物理的安全管理措置と4.技術的安全措置について触れていきます。
*技術的安全措置については次回ご説明いたします。

安全措置は企業の大きさに関わらず対応する必要がありますが、大企業で講じている対策を中小企業が無理にする必要はありません。
各企業に適した対策をとることが重要ですが、どの対策を取ればいいのかわかりづらいかと思います。
そこで、ガイドラインに掲示されている例を元に中小企業向けに対していくつか対策を紹介していきます。

物理的安全管理措置について

特定個人情報等を取り扱う区域の管理

<ガイドラインによる手法の例示>
入退室管理及び管理区域へ持ち込む機器等の制限等
入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等
取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及び座席配置の工夫等
kuiki
セキュリティのポイント!
本来であれば専用の別室を設けて監視カメラを設置し、入退室の管理をするのが理想的ですがコストがかかります。
別室や入退室のシステムを導入することが困難な場合はパーティションを区切って区域を分けることで対応が可能です。
また、データの取り扱いのできるパソコンを分けておくことも可能です。

機器及び電子媒体等の盗難等の防止

マイナンバーや個人情報を取り扱う機器及び書類の盗難を防ぐための対策です。

<ガイドラインによる手法の例示>
取り扱う電子媒体・書類を施錠できるキャビネット・書庫に保管
情報を保管しているパソコンにセキュリティワイヤーをつけて持ち出しさせない。

セキュリティのポイント!
離席時に個人情報などの書類・電子媒体を机の上に置かないようにすることをお勧めいたします。
離席時にパソコンの画面が見られないようにパスワード付のスクリーンセーバーが起動するように設定をします。
覗き見防止用のフィルターを使用することをお勧めいたします。

電子媒体を持ち出す場合の漏洩等の防止

マイナンバーや個人情報が記録された電子媒体または書類を持ち出す場合、情報が簡単に漏れないようにすための対策です。

<ガイドラインによる手法の例示>
持ち出しデータの暗号化、パスワードによる保護、施錠できるカバンの使用
tounan
セキュリティのポイント!
プリンターにて個人情報を印刷することがあるかと思いますが、その際は共有のプリンターを使用せず専用のプリンターを用意することをお勧めいたします。
USBメモリでの持ち運びは紛失する危険があります。
USBメモリを使用する場合は下記の要件を満たしたものをお勧めいたします。
・パスワードロック機能でユーザ認証
・書き込みデータをウィルスチェック
・ハードウェアレベルの自動暗号化

個人番号の削除、機器及び電子媒体等の廃棄

<ガイドラインによる手法の例示>
特定の個人情報が記載された書類を廃棄する場合、焼却または溶解などの復元不可能な手段を採用する
特定の個人情報が記載された電子媒体を廃棄する場合、専用のデータ削除ソフトウェアの利用または破壊により復元不可能な手段を採用する。
haiki
セキュリティのポイント!
書類を廃棄する場合シュレッダーで削除をしても対応が可能です。その際はクロスカット、マイクロカットのシュレッダーをお勧めいたします。
電子媒体を削除する場合は、専用のデータ削除ソフトを使用してから改めて物理的に破壊をすることをお勧めいたします。

マイナンバーの管理対策・・どこまでやればいい?

マイナンバーのガイドラインには「安全管理措置について対策を講じる必要がある」とはありますが、具体的な対策については企業側にゆだねられています。
情報漏えいのリスクを限りなくゼロにすることが望ましいのですが、コストや運用面での手間もあります。
今回は物理的安全管理措置について紹介しましたが、あくまでも物理的安全管理措置に関してのご紹介ですのでこのままでは不十分なところもございます。
次回ご紹介する技術的安全措置と合わせて参考にしていただければ幸いです。