「千葉県産業情報ヘッドライン」バックナンバー
【連載特集】
┏━━━━━━━━━━━━━━━━━━━━━━━┓
◆ 連 載 ◆
┗━━━━━━━━━━━━━━━━━━━━━━━┛
∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽
中小企業向け情報セキュリティー対策について
∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽∽
第1回 なぜ中小企業にとって情報セキュリティー対策が必要なのか
(1)はじめに
この1〜2年の新聞記事で、個人情報の不正取得/漏洩や年金機構からの個人情報
漏洩、標的型攻撃などの事件・事故が多数報道されている。私たち庶民や一般中小
企業の身の回りでは遠い世界のことかと思う方は多いかもしれない。でもこれは、
私たちの周りで起こることであり、決して無関係なことではありません。
インターネットが普及して約20年、この普及がなければ起きない事象かもしれま
せん。その意味ではごく近代発生した問題です。それだけに加害者と被害者の対策
が追いかけっこしています。
情報セキュリティーの世界で情報漏洩を起こすと、漏洩された個人の被害はすぐ
には顕在化せず、いつ被害が生じるか不安が伴うことになります。
また漏洩させた側は、物理的に何かが盗難・損害を受けることが少なく、発見し
気が付くことが遅くなることが通例です。また標的型攻撃では、我々一般庶民のパ
ソコンですら踏み台にされ、次に人に攻撃をかけることになり、被害者が加害者に
なってしまいます。
このようにこれまでの、盗難事件や窃盗事件とは異なることになり、一般社会も
経験が少なく混乱をしています。
(2)情報の価値・重要性
多くの方が、「自社・自分のところにある情報などたいしたものはない」と考え
ているようです。この考えは改めなくてはいけません。
何処に住む、何歳の、男性/女性で何という名前の人(これを個人情報といいます)
を取得したい人は、お金を出して購入します。自分の事業の対象になる人を特定し、
ダイレクトメールや電話によるセールス活動などに使用するためです。個人情報提
供側も1人のデータが100円以上で販売できれば、多額の販売代金になります。
行政の機密情報などは、しかるべき役所のコンピュータに格納されているでしょ
う。これを盗み出し、不利益を被る側に事前に提供すれば、沢山の見返りが期待出
来ます。
公共システムには、外部の人はアクセス(=見たり、コピーをしたりすること)は
できません。しかし内部の人は業務上一定の手続きをすれば見ることが可能です。
ではこのアクセス権を持つ内部の人は、インターネット上からどのようにして探
し出されてしまうのでしょうか。
外部から情報を不正に入手しようとする者は、様々なメール・アドレスを入り口
にして、その送受信先のメール・アドレスを手に入れ、その中に対象となる人物が
居ないかを調べます。いなければ、さらに次のアドレスを手繰りにいきます。
この過程で我々の内部にもぐりこまれる可能性があるのです。
このように情報は、受け手に価値を生み、漏洩側はたいしたことがないと思いこ
んでいるのです。特に、企業の得意先リストや販売単価などの情報や、製品の技術
的情報は、競合企業から見ると、ノドから手がでるほどほしい情報です。
(3)情報セキュリティー対策の現状
他県の調査データですが、中小企業が懸念している情報セキュリティー対策の懸
念事項は、情報漏洩・ウイルス(不正に情報を盗み出したり改竄をしたりするプロ
グラム)感染・不正アクセスです。
しかし、ウイルス対策ソフトすら未導入・更新されていない企業が多くみうけら
れます。
企業規模が大きいほど情報セキュリティーに対しての対策がなされているようで
すが、中小企業においては対策が充分にされていないのが現状です。
インターネットではすべてのシステム・パソコンが繋がっていて、一番対策が弱
いところからウイルスが侵入してくるのです。
(4)すぐにとるべき対策として
最低限ウイルス対策ソフトを導入し、定期的にパターン・ファイルを更新してく
ださい。さらに、パソコンで使用しているソフトのバージョンを最新のものにして
ください。
プログラム作成側では、情報セキュリティーに対して脆弱性が指摘されるつどパ
ッケージ・ソフトに修正を加え、バージョン・アップをしています。
下記の(独法)情報処理推進機構:IPAのサイトで、パッケージ・ソフトが最
新かどうかを、無料ですぐ確認できます。
http://jvndb.jvn.jp/apis/myjvn/vccheck.html
定期的に実施する事をお勧めします。
第2回 物理的保護対策/機器の管理
(1)情報セキュリティーの新たな危険性とリスク
情報機器は、電子部品の極小化開発・製造技術の発展を受けて、製品の小型化・
軽量化が実現しています。持ち歩くことに不便を感じさせないくらい小さくなり、
カバンやポケットに簡単に入ってしまうほどです。パソコンも小型・軽量化が進ん
でいます。デジタルカメラやボイスレコーダーも極めて小さくなりました。それに
伴いUSBメモリーをはじめとする外部メモリーも小さくなり、かつ大容量になっ
ています。
デジタルカメラ機能のついた携帯電話やスマートフォンなどは、ほぼ全員が所持
し、いつでもどこでも写真撮影や動画撮影ができ、音声録音ができます。
無線LANの普及によりケーブルで接続されていなくてもオフィス内ネットワー
クに接続ができ、非常に便利になりました。
しかし、無線LANでは、オフィスの外側から第三者によりネットワークに繋が
れる可能性もあります。
情報処理技術の発達は利便性が高まる反面で、機器の小型・軽量化による紛失や
無線LANによる不正アクセスなど情報セキュリティー面の新たな危険性とリスク
を生んでいるのです。
(2)情報を取り扱うルールを明確に
情報機器を扱うのは人間です。情報にアクセスするのも人間です。ついウッカリ
だったり、規則が無かったりという理由から情報の取り扱いがルール化されていな
いケースが見受けられます。
情報はパソコンの中だけにあるのではありません。印刷した紙や壁に貼った紙、
会議中に書いたホワイトボード、作業中の机の上の書類にも情報は満載されていま
す。社員同士の会話する内容にも、外部の人から見れば新たな情報がいっぱいあり
ます。
情報は発生し、@収集され、A保管され、B移送され、C利用され、D破棄され
ることになります。この各局面で管理する規則・ルールを決めておきましょう。
特に、個人情報を収集する時は、その利用目的を明確にし、目的外利用をしては
なりません。個人情報保護法により、5,000件以上の個人情報を保管する企業は、
個人情報取扱事業者になり、個人情報の厳正な管理を義務づけられています。企業
内にある個人情報を棚卸して、5,000件を超えているかどうか点検して下さい。
5,000件以上あれば、不要なデータは再生できない手段で破棄しましょう。5,000
件以上保持するのであれば、厳正な管理体制を取りましょう。
すべての情報は同じ機密レベルではありません。情報の重要性を分類して、@収
集のルール A保管のルール B移送のルール C利用のルール D破棄のルールを作
成し、従業員に徹底する事が必要です。
このルールの中で、USBメモリーの利用制限や個人所有の情報機器の持ち込み
制限などのルールを決めましょう。ある企業では、これらのルールに違反すること
は、解雇処分になることもある旨、就業規則に書かれているほどです。
(3)整理・整頓が物理的保護の第一歩
作業環境の整理・整頓は製造業の安全管理に限った話ではありません。一般のオ
フィスにおいても整理・整頓が情報管理の基本です。
何処に何が在るのか、何が無くなくなったのかに気がつかないほど乱雑なオフィ
スを見受けます。書類が多く保管され、鍵の掛からない書棚に積まれているオフィ
スも見受けられます。
まず整理整頓しましょう。終業時には、事務机の上はもとより、オフィス内には
書類は放置されていないようにして、鍵のかかる保管庫などで管理しましょう。
定期的に違反が無いか点検をすると徹底が早いかもしれません。違反があったら、
どうすれば解決するか必ず対策を立てましょう。
守れないルールが設定されていたり、ルールが現状にそぐわなくなったりしてい
るかも知れません。
据え置き型のパソコンや机の引き出しなどに収納できないパソコンには、盗難防
止用の専用のワイヤーロックなどで盗難防止の対策を立てましょう。
USBメモリーなどの外部記憶装置は、保管場所・管理者を明確にして、社外に
持ち出す時は記録を残し、紛失・盗難防止の対策を立てましょう。
(4)オフィスの情報セキュリティー
オフィスの情報セキュリティーを見直してください。
不用意に外部の人に情報が漏洩している可能性はありませんか?
オフィス・エリアや社内作業場所に外部の方が簡単に入室して、作業中のデータ
を覗かれたり、電話や社員の会話が容易に聞かれる環境になっていませんか?
このような環境であれば、外部の人が入れる場所を限定し、さらに外部の人の視
線などを考慮した机やパソコンの配置にすべきです。また、外部の訪問者であるこ
とが一見してわかるように、名札等の着用をしてもらうことも有効です。
無線LANはオフィス内でパソコンを持ち歩くときなど非常に利便性の高い手段
です。
しかしながらオフィス外へも無線は飛んでいます。そこから無線LANに侵入さ
れることは十分考えられることです。
不用意に無線LANに侵入されないため、パスワード設定は最低限実施するとと
もに、データの暗号化も対策としては有効です。
また、社外で業務する従業員が利用している機器を経由して無線LANへ侵入さ
れないように、様々な侵入ルートを想定したパスワード設定など対策を立てましょ
う。
第3回 不正侵入・標的型攻撃・パスワード管理
(1)不正侵入
許可されていない人がネットワークシステムやデータにアクセスすることを不正
侵入といいます。
不正侵入の目的はいくつかありますが、最近ではネットバンキングに潜りこみ、
パスワードを盗み出し、不正操作をして預金を盗み出すことを意図したものが目立
っています。
調査機関の報告では、被害額は年間30億円を超えて増加の一途にあるとのことで
す。何としても、防がなくてはならない被害です。「使用するネットバンキングは
信用ある大手銀行だから大丈夫」と盲信するのでなく、常に注意を払う必要があり
ます。
侵入者は様々な知恵を駆使し、口座から預金を盗み出そうと狙っています。ネッ
トバンキング利用の都度、パスワードを変更したり、こまめに口座の残高を確認し、
異常が無いことを常に確認するように心がけましょう。必要以上の金額をネットバ
ンキングの口座に残さないことも重要です。
また預金の盗み出しばかりではなく、不正侵入したことを誇示し、自分の技術の
高さに満足する愉快犯も多くなってきています。
データをあたりかまわず閲覧し持ち出すなど、本当の目的が絞り切れないことが
多く見受けられる他、ネットワークシステムやユーザのアクセス権限を手に入れ、
自由奔放にサーバへアクセスし、ホームページやデータを改竄したりします。
これらの不正侵入を防止するために、サーバやファイルのアクセスログの解析を
専門家へ依頼することも対策の一つです。データやホームページの確認もこまめに
行いましょう。
またネットワークシステムのパスワードは、定期的(最長でも3ヶ月単位くらい)
に変更するように心がけましょう。
(2)標的型攻撃
さらに最近急増しているものとして、企業やそこにあるであろう情報に対する外
部からの悪意をもった不正侵入として標的型攻撃があげられます。獲得したい情報
を決め、その情報を獲得することに知恵を駆使し、標的を定めてサーバに不正侵入
してくるのです。
登録してある個人情報を盗み出して売却したり、会社の製品情報や技術情報、顧
客情報や販売戦略などの機密情報を盗み出し、競合企業等に売却したりするのが目
的です。
この場合、標的にされた企業では、情報を盗み出されたことに気づくのが遅れ、
対策が手遅れになることが大半です。
万が一のため、自社の情報漏洩に早く気づくようにダミーデータを忍び込ませて
おくのも方法の一つです。
標的型攻撃は、サーバAからサーバBへ、さらにサーバC・D・E・・・と次々に連
鎖をたぐって目的のサーバにたどり着く手口が多い様です。この中に、私たちのサ
ーバも踏み台に使われ、気が付かないうちに悪用されている可能性もあるのです。
これは私たちのサーバがウィルスに感染していることにもなります。気が付かな
いうちに加害者とならないためにもコンピュータウイルス対策はソフトを必ず導入
しましょう。そしてウィルスのパターンファイルは必ず定期的に更新してください。
パターンファイルの更新を忘れないために、自動更新の設定がお勧めです。
また導入されているソフトウエアが最新バージョンになっているかも必ず確認し
て下さい。(確認方法については連載記事「第1回 なぜ中小企業にとって情報セキ
ュリティー対策が必要なのか」を参照してください。)
ウィルスに感染しないためには、不用意に見ず知らずのWEBサイトにアクセスしな
いことです。また知らない人からのメールについている添付ファイルを、不用意に
開封しないことも大切です。
悪意のある人は、そこを不正侵入の入り口にするために、何とかウィルスに感染
させようとしています。先日大きく報道された日本年金機構の個人情報漏洩事件の
原因にもこの事象が確認されています。
(3)パスワードの使い回し
銀行ATMのパスワードは通常4桁の数字が使われています。誕生日や電話番号・住
所などの、他人が類推しやすい番号は危険として、最近では銀行から変更を求めら
れています。
数字4ケタですから、組合せは1万通りしかなく、コンピュータを用いれば瞬時に
して解読されてしまう危険性があるからです。
様々な会員サービスのパスワードや業務で使用する企業内システムのパスワード
など、身の回りには多種多数のパスワード指定箇所が存在し、私たちの生活とパス
ワードは切っても切れない関係となっています。
そしてその都度、パスワード指定ルールの文字数や組み合わせが異なります。す
べてのパスワードを毎日使用するわけでもなく、いくつかの同じパターンを使い回
してしまいます。
これをパスワードの使い回しといいます。ある人のパスワードの使い回しが判れ
ば、そのいくつかであると類推しやすく、解読されてしまうリスクが高くなるので
す。
(4)パスワードの分類
パスワードは、大きく3つに分類をしましょう。
第一類のパスワードは個人資産や個人情報を管理する最も重要と思われるパスワ
ードです。この第一類パスワードは厳密に管理し、類推されることの無いようにす
べきです。
第二類のパスワードは企業内業務システムなどで使用するパスワードです。これ
らは業務命令や休暇時に他人に開示を求められるものです。企業内のルールに則り
管理されるべきものですが、このパスワードが第一類と同じものでは問題が起こり
ます。業務命令で開示された担当者に第一類のパスワードも開示する事になるから
です。そして第二類のパスワードから、第一類が類推されてはなりません。
第三類としては、一般にインターネットなどで情報取得をための会員登録や、申
込時等に指定するパスワードがあげられます。これらは簡易的なものでも良いかも
しれません。しかし重要なのは、先ほどと同様に第三類から第一類、第二類のパス
ワードが類推されてはなりません。
パスワードは最低でも大きくこの三つのパターンで重要性を分類して、それぞれ
の設定・管理を行うと良いでしょう。
(5)パスワードの管理
前章で解説しましたが、身の回りには多種多数のパスワードが存在します。毎日
使用すれば記憶しますが、年に数度しか使用しないパスワードは忘れてしまうこと
も多いでしょう。
それを防ぐためにノートに記帳したり、パソコンに記録したりします。
記録することは仕方が無いとすれば、それを見た人が明らかに今利用するシステ
ムのパスワードであることを類推されてはなりません。自分のルールで一文字ずら
しや逆方向から記入するなどをして暗号化の工夫をしましょう。
パソコン内部に記録したら、そのファイルにはさらにパスワードを設定すべきで
す。
机の上にメモ用紙に記入して貼り付けるようなことは、厳に慎むべきことです。
電話で伝達するのも止めましょう。周囲の人に判ってしまいます。
メールで送信する添付ファイルのパスワードは同じメールには記入せず、必ず別
のメールにして送信しましょう。メールが傍受・漏洩されたときの防御のためです。
またパスワードは、8文字以上・大文字小文字・数字・特殊文字を組み合わせた
ほうが安全です。文字パターンの組み合わせが多くなり、解読される確率が低くな
るからです。
今や私たちの生活や企業活動の中で、パスワードは必須であり、様々な局面で必
要とされる項目です。管理をおろそかにすると、生活基盤・企業活動基盤が揺らぎ
大きな影響を受けることも考えられます。
パスワードの管理を厳正にして、安全で不安のないインターネットの活用を心が
けましょう。
第4回 データ紛失・漏洩対策とデータ保護対策
(1) データ紛失・漏洩は何故起きる
連載第2回「物理的保護対策・機器の管理」において、データは発生し、収集さ
れ、保管され、移送され、利用され、廃棄されることはすでに解説しました。この
すべてのステップにおいてデータの紛失・漏洩の可能性があります。
データの発生・収集段階での紛失・漏洩は、発生したデータや収集したデータを
管理できずに紛失・漏洩するケースが見受けられます。具体的には、出席者リスト
やアンケート用紙を放置する事例がこれに該当します。
これらの情報が紛失・漏洩した時の問題の大きさを理解し、発生・収集したデー
タの整理整頓は常に心がけるべきです。
データの保管段階では、書類やファイルの放置、データを保存した記録媒体(USB
メモリーなど)の放置、無施錠や鍵の放置によるロッカーへの保管不備によって紛
失・漏洩がおきます。
USBメモリーなどにはパスワードの設定やデータの暗号化を行い、鍵のかかる場所
に保管しましょう。また、ロッカーの施錠を心がけ、持ち出された書類やファイル
が一見して判明するような対策を講じるべきです。
そして終業時には必ずデータは元の場所に戻すルールなどを設け、保管を徹底し
ましょう。
データの移送の際における紛失・漏洩では、鞄に入れた書類や記憶媒体(USBメモ
リーなど)を、電車の中に忘れたり、盗難にあったりするケースが見受けられます。
機密情報を鞄の中に入れて携行しているのであれば、電車の中では網棚に載せる
のではなく、常に身に着けて所持すべきです。
また業務の後、飲食をしてそのまま忘れるケースも見られます。飲食をする事が
わかっていれば、大切なデータを携行すべきではありません。
パソコンの盗難等によるデータの紛失・漏洩も気を付けなければなりません。利
用するパソコンには必ずパスワードを設定しておきましょう。今日では多く利用さ
れているタブレットやスマートフォンも同様です。
パソコンやタブレット、スマートフォンでは電源を入れた時のパスワードや指紋
認証などの生体認証をはじめ、データへのアクセス時など、様々な場面でパスワー
ドを設定できます。これらは一連の作業ですので、同じパスワードでは複数設定し
た意味を持ちません。必ず異なるパスワードを設定しましょう。
パスワード設定は煩わしいかもしれませんが、情報セキュリティーを保つための
最低限のルールです。これらのパスワードを設定していないパソコンやタブレット、
スマートフォンは業務で利用すべきではありません。
これらを無視して社外で大切なデータを利用し、紛失・漏洩した事例は多数あり
ます。大切なデータを社外に持ち出す場合は、規則やルール明確にし、しかるべき
手続きと許可を得て、持ち出せるように整備するのが良いでしょう。
データ管理を個人任せにするのでなく、組織として対策すべきです。
近年、取引先企業にこれらの規則やルールが整備され運用されていない場合、取
引を控える企業もあります。
データ廃棄の場面でも漏洩するケースが多く報告されています。
書類やファイルをそのままゴミ箱に廃棄するのは論外です。シュレッダーなどを
使って細かく裁断し現状復帰が出来ない様にするか、焼却・溶解などの専門業者に
委託して廃棄することも考慮してください。
専門業者に委託する際には、必ず廃棄証明などの証拠書類を提出できる業者を選
びましょう。
パソコンやタブレット、スマートフォンを廃棄する際には、必ずデータを消去し
て下さい。
データの消去方法にも注意が必要です。単にゴミ箱に移動し、クリアするだけで
は不十分です。データ消去専門のソフトを使うなどして、ハードディスク全体を消
去して下さい。
二度と利用しないのであれば、物理的に破壊するか、専門業者に依頼して破砕処
理をしてもらうことも検討しましょう。
特に、CD、DVD、USBなどの記憶媒体はそのまま廃棄しないようにしてください。
ハサミで裁断するなど破砕して2度と読めない状態にするのが基本です。
データ廃棄の段階は、情報漏洩を起こす危険性が一番高い局面です。物理的な破
壊を基本的に考え、十分に注意しましょう。
(2) データ紛失・漏洩が起きるとどうなる
データ紛失・漏洩が起きるとどうなるでしょうか?
企業の機密情報であれば、企業競争力や信頼が損なわれ、どの程度の損害が生じ
るのか見当もつきません。
個人情報であれば、その情報がいつ何に使われるのかわからない不安や恐怖を抱
くことにもなります。
データを紛失・漏洩させた側は、そのデータの特定と該当者を限定しなくてはな
らず、この作業が大きな負荷となるだけでなく、速やかな対応やお詫びなどに多大
な経費を負担する事になります。
何よりも、データ紛失・漏洩させた企業の信用は失墜し、今後のビジネスに大き
く影を落とすことは間違いありません。
(3) データ紛失・漏洩が起きたときの対応
個人情報保護法の規定によると、5,000件以上の個人情報を保持する事業者は個
人情報管理のための体制・管理を整備する必要があることはすでに解説しました。
データ紛失・漏洩に気付いた時には、速やかに正しく対応する必要があります。
まず情報管理責任者に連絡し、企業として対応する必要があります。被害が発生
していれば、警察当局に被害届を出すだけでなく、IPA(独立行政法人情報処理推進
機構)の担当窓口にも連絡を入れてください。
仮にウイルスの感染が疑われた場合、ウイルスが蔓延しないように、該当する全
てのパソコンをネットワークから切り離すべきでしょう。
外部からの不正アクセスが疑われたら、外部とのネットワークを遮断すべきです。
上記の対応から被害を最小限に留め、漏洩したデータの種類や範囲、件数などを
特定しましょう。
ファイルやフォルダーに、何の種類のデータが何件くらい保管されているか管理
できていないと、漏洩の範囲を特定することは出来ません。普段からデータの管理
体制を強化し、データ漏洩などが無いように。また万が一漏洩してしまった場合の
対応策を常に考慮しましょう。
(4) データ紛失・漏洩を起こさないために
データ紛失・漏洩を起こさないためには、これまで解説したようにウイルス対策
ソフトを導入したり、アクセスの制限をするなど技術的な防御をする方法がありま
す。
従業員にデータ管理の重要性や紛失・漏洩防止のための管理やルールの徹底など、
研修を行いましょう。保管場所となるロッカーなどに鍵をかけるなどの管理も重要
です。
また、この管理が徹底しているか、抜き打ちで内部監視や監査を行うのも良いか
もしれません。
情報漏洩を起こした企業の信用は失墜し、ビジネスへの負の影響は計り知れませ
ん。普段からの規則にそった地道な対策が最も大切です。
第5回(最終回) マイナンバーと個人情報管理
(1)マイナンバーはどのように使われるのか
社会保障・税番号制度、いわゆるマイナンバー制度が平成28年1月1日から導入さ
れます。住民票を有する全ての方に【12桁】の個人番号が付番され、また、すべて
の法人には【13桁】の法人番号が付番されます。
法人番号は原則として公開され、誰でも自由に利用することができますが、個人
番号は厳格に機密管理され、使用が制限されるものになります。
平成27年10月から個人番号の記載された「通知カード」の送付が順次始まります。
通知されたその個人番号は生涯変わることはありません。
また同封された個人カード交付申請書で申請することにより、1月から市区町村の
窓口で「個人番号カード」の交付を受けることができます。
マイナンバー制度導入後は、多くの場面で個人番号の提示が必要となる場合があ
ります。
「通知カード」であれば、運転免許証や旅券等他の本人確認書類が必要となりま
すが、「個人番号カード」があれば、一枚で番号確認と本人確認が可能となります。
当面、マイナンバーの使用は、社会保障と税・災害対策の分野に限定されます。
税分野では、通常企業で支払われる給与や報酬の源泉税が対象になります。平成
28年1月1日以降に税務署に提出する申告書等には、源泉徴収義務者の個人番号また
は法人番号を記録する必要があります。もちろん、源泉徴収された本人の個人番号
や、控除対象になった家族の個人番号も税務署への申告が平成28年度の報告から必
要となります。
なおマイナンバーの本人確認は、番号が正しいこと(番号確認)と、番号の持ち
主が本人であること(身元確認)の2つが必要です。
また、企業としては、すべての従業員(扶養家族を含む)の個人番号を管理しな
くてはなりませんし、支払先の個人番号や法人番号の管理も必要になります。その
管理を怠った場合、懲役刑や罰金刑が科せられることもあるので注意しなければな
りません。
社会保障制度の運用にも、個人番号が必要になります。雇用保険、社会保険、健
康保険、児童手当などの届出や申請に個人番号が利用されるのです。(開始時期は
異なります)
詳細についてはまだ流動的なところもありますが、マイナンバーは法律で定めら
れた事務に限って利用され、行政の効率化、国民の利便性の向上、公平・公正な社
会を実現するための社会基盤となるのです。
(2)マイナンバーはどのように管理するべきか
企業に対して、マイナンバーは特定個人情報として、目的外使用の排除や漏洩防
止など、厳格に管理・運営する事が求められています。これらは全て、個人番号の
悪用を防止するためのものです。
企業は、従業員や支払先から通知された個人番号を、番号確認・本人確認をした
後、特定個人情報として保管します。
これらは不必要な人の目に触れてはならないのは当然ですが、許可された人であ
っても簡単に個人番号を知ることができないようにすることが必要です。
たとえグループ企業同士であっても、企業間で個人番号を教え合うことは認めら
れません。
あくまで本人からの申告によって、会社の責任で番号確認・身元確認をしなくて
はならないのです。
例えば、本人から紙媒体で個人番号を預かった場合、ロッカーなどのしかるべき
場所に保管し、鍵をかけ、利用した者の記録を残さなくてはなりません。
平成28年1月1日以降に退社・入社する従業員の個人番号については、すぐに管理
を始めなければならないのです。
また101名以上の従業員の個人番号を管理する事業者と、他人の個人番号を業務上
取り扱う立場にある事業者(税理士・社会保険労務士・司法書士・商工会議所・商
工会など)は事業規模に関係なく、厳重な安全措置の管理を求められています。
上記に該当しない中小企業等においても、従業員に対する研修を実施しマイナン
バーについての理解を徹底させ、個人番号(扶養家族の個人番号を含む)を企業に
提供してもらう必要があります。また個人番号の管理規定や安全措置等について社
内でルール化することも重要です。
(3) 101名以上の従業員がいる企業、5,000名以上の個人情報を保持する企業
101名以上の従業員の個人番号を管理する企業は、個人情報取扱事業者と同様の扱
いになります。
5,000人以上の個人情報を管理する企業は個人情報取扱事業者となり、中小規模事
業者に認められている簡易措置が適用されませんので、大企業と同等の厳格な安全
管理基準を求められています。(ただし、先日個人情報保護法の改正案が国会で可
決・成立し5,000名規定が削除されましたので、今後規定が変更される可能性があり
ます)
マイナンバーに関する基本方針の策定、取扱規定等の策定、組織的安全管理措置、
人的安全管理措置、物理的安全管理措置、技術的安全管理措置について、社内規定
を定め、従業員に徹底し、規約に基づいた運用をしなくてはなりません。
(4) 申請代理業務等をする企業
例えば、たった一人の会計事務所であっても、税理士事務所や社会保険労務事務
所等は業務として委託先の個人番号を取り扱います。
法律の硬い表現を借りれば「委託に基づいて個人番号関連事務又は個人番号利用
事務を業務として行う事業者」と定義され、前章同様の厳格な安全管理措置を講じ
る必要があります。
情報漏洩に対する組織的安全管理措置や特定個人情報を扱う作業場所・作業区域
の管理、情報機器や特定個人情報の物理的・技術的管理の対応を求められています。
情報処理技術も組み込んだ、情報漏洩対策が必要です。
(5) マイナンバーの将来
マイナンバーは国民の管理を強めるために導入される制度ではありません。
国民にとって、利便性の高い、公平・公正な社会を実現するための社会基盤とし
て導入するものです。
その第一歩が、社会保障と税のための番号管理です。
まず行政業務処理を中心にして利用され、行政事務の効率化を目指しています。
将来的には、厳格な管理の下で、民間にも開放される様です。
民間に開放されれば、金融機関や医療機関、そしてその他の行政事務処理に拡大
していくでしょう。
物事に光と影の部分があるように、影の部分として個人情報の漏洩や悪用の危険
性があります。しかし、本来の趣旨を理解し、自ら管理に注意と責任をもって自分
の個人番号の利用状況を監視しながら活用していくべきでしょう。
結果として国内の業務処理や管理の生産性をあげ、国際社会での競争力も強化で
きるものと信じています。
マイナンバーはその第一歩です。正しくマイナンバーを導入、活用しましょう。
また不安や不明点があったら公的機関や専門家に相談しましょう
(参考資料)
「特定個人情報の適正な取扱いに関するガイドライン」
(特定個人情報保護委員会)
http://www.ppc.go.jp/legal/policy
「中小企業向け はじめてのマイナンバーガイドライン」
(特定個人情報保護委員会事務局)
http://www.ppc.go.jp/files/pdf/270213chusho.pdf
「マイナンバーが始まります 中小企業のみなさんへ(入門編)」(内閣府)
http://www.cas.go.jp/jp/seisaku/bangoseido/download/kojinjigyou.pdf
改正個人情報保護法に関する内閣府の説明資料
http://www.soumu.go.jp/main_content/000355092.pdf
NPO法人ちば経営応援隊
理事長 浅井 鉄夫
