セミナー概要
- 2015/3/13 13:30~
- NECネクサソリューションズ、エムオーテックス株式会社
マイナンバー制度の概要
マイナンバー制度は、正式名称「社会保障・税番号制度」で、すべての個人に対して12桁の一意の個人番号を割り当てる制度のことです。
現時点の利用範囲は以下の行政手続きのみに限定されている。
- 社会保障
- 税
- 災害対策
マイナンバーや住所、生年月日、顔写真などが記載された個人番号カードを個別に発行することも可能。
マイ・ポータルで個人情報を確認することができる。
マイナンバー制度の影響は全企業
個人番号を取り扱う次の業務でマイナンバーを使用する必要がある。
- 所得税の源泉徴収
- 住民税の特別徴収
- 社会保険料の支払い・事務手続き
- 法定調書の提出
これらの業務に関わる部署としては、総務、人事、経理、情報システム。
個人番号は特定個人情報として扱われる
次の情報の組み合わせが特定個人情報となる
- 氏名
- 性別
- 生年月日
- 住所
- 個人番号
個人番号は保護すべき新しい情報で、個人情報や経営情報・知的財産などの企業秘密と同等の扱いをしなければならない。
番号法では、保存期間が定められている。
特定個人情報の漏洩には厳しい罰則
番号法は、個人情報保護法と比較して違反には罰則が強化されている。
従業員には次のような罰則が課せられる。
- 従業員個人に4年の懲役・200万円の罰金刑
- 所属企業には200万円の罰金刑
違反者の使用者にも、200万円以下の罰金が課さられることがある。
業務フロー
個人番号に関わる業務フローは次の流れに沿ったサイクルを回すことになる。
- 情報の取得
- 保管
- 利用・提供
- 廃棄
この中で、保管と利用・提供で漏洩リスクが潜んでいる。
保管時には、不正アクセスによる情報漏洩、利用時には無駄な持出などが発生しうる。
情報漏洩要因
情報漏えいの原因はさまざまだが、大部分は内部要因となっている。
内部要因は、ご操作、内部不正行為、情報持ち出し、紛失で、これらが情報漏洩原因の80%を占めている。
効果的な情報漏えい対策と考えるのは、従業員の場合は次のとおりである。
- 社内システムの操作の証拠が残る(55%)
- 重要な情報にアクセスした人が監視される(38%)
- 同僚のルール違反が発覚し、処罰される(36%)
- 社内システムのアカウント管理を強化する
経営者の場合は、効果的な対策と考えるのは外部からの不正対策となっていた。
現場の方々で考える情報漏洩の原因として思うところにギャップがある。
ガイドライン
特定個人情報の保護に関するガイドラインが公開されている。
「取扱規程などに基づく運用」「外部からの不正アクセス等の防止」のガイドラインは情報老齢対策に有効な操作履歴の取得が含まれる。
「取扱規程などに基づく運用」でじゃ、PCの操作履歴記録、外部デバイスの利用や持出、業務システムのログイン実績の記録が明記されている。
システム的な対応としては、次のようなことをする必要がある。
- PCのファイル利用やプリントアウトなどの操作履歴を取得する
- 外部デバイス機器の接続とファイルの書き出し履歴を取得する
- ファイルの削除履歴を取得する
- 業務システムの利用ID管理、アクセスログを取得する
「外部からの不正アクセス等の防止」では、機器の不正アクセス対策、ソフトウェアの状態把握と利用制限、定期的なログ分析が明記されている。
- 持ち込み機器などのネットワークへの接続を検知、遮断する
- インストールアプリケーション情報の取得、利用制限をする
- 業務システムやウィルス対策ソフトのバージョン管理をする
- 不正アクセス、PC操作履歴から課題を定期的に分析する
マイナンバー制度開始までの準備
2015年10月から個人番号通知が始まる。
2015年10月から番号の利用開始までの間に、全従業員の個人番号を収集する必要がある。
それまでに情報漏洩対策システムを準備する必要がある。
情報の収集には、メールでの申告で実施するのではダメで、本人確認する必要がある。
基本的には対面での実施が必要になってくる。
情報の収集対象には、扶養家族の情報も集める必要がある。
扶養家族に関しては対面をする必要がない。