【マイ・オピニオン】 マイナンバー セキュリティ対策と安全性は
マイナンバー制度の安全管理措置とは
マイナンバー制度というのは、セキュリティ面での安全性を確かなものにするため、さまざまな難しいノルマを課している。管理項目のなかで、もっとも重要かつ面倒なのが「安全管理措置」だ。
安全管理措置の内容は大きく分けて以下の6つの項目となる。
①基本方針策定
- 関係法令順守
- 質問・苦情処理窓口
- 安全管理措置の事項
などの、組織としての基本方針。
②取扱規程等策定
- マイナンバーの具体的な取扱を定める規程を策定
③組織的安全管理措置
- 取り扱い情報の範囲
- 責任者や取扱者、責任や役割の明確化
- 情報が漏えいした場合の報告体制
- 取り扱い状況の確認
など、組織としての体制整備。
④人的安全管理措置
- 事務取扱者の監督および事務取扱者の教育。
⑤物理的安全管理措置
- マイナンバーを取り扱う区域の管理(間仕切りなど)
- 情報システム区域への入室制限(セキュリティカードなど)
- 機器・電子媒体の盗難防止
- 電子媒体を持ち出す際の漏えい防止
- 機器・電子媒体の確実な廃棄
⑥技術的安全管理措置
- アクセス制御による利用者の制限
- アクセス者の認証と認識
- 外部からの不正アクセス防止(ファイヤウォールやウィルス対策ソフト)
- 外部送信の際の情報漏えいの防止などの措置(暗号化、パスワード)
マイナンバーセキュリティはお金がかかる
これらの安全管理措置は義務であり、すべて会社でのマイナンバーにおけるセキュリティ対策である。マイナンバーを管理する事業者は、全項目を満たしていなければならない。中小企業にとっては多額の出費となる。
名古屋の北見事務所では、マイナンバーの導入コスト、ランニングコストを試算してみた。
(従業員100人 支店数カ所を前提とした概算)
- 導入コスト・・・初期費用1000万円
- ランニングコスト・・・年400万円
(詳しくは「安全管理措置を行うためのコスト試算」を参照)
ただし、条件を満たす中小企業には特例措置が適用される。たとえば、
- 組織的管理においては責任者と取扱者の区分、情報の取扱状況のわかる記録の保存など。
- 物理的管理においては、情報を取り扱う機器の限定ユーザーアカウント制御による担当者限定など。
マイナンバーを管理するための、安全管理措置というノルマを果たすには、企業は情報システム改修やセキュリティ強化を急がなければならない。だが、自社内での管理は手間もコストもかかってしまい、及び腰となって対応が遅れている。
よって、実際にマイナンバーを取り扱うことになる社会保険労務士に管理を委託するという中小企業が多数を占めることとなる。(マイナンバーに関係する事務を外部に委託する場合、委託先(社会保険労務士)が委託者が果たすべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行わなければならない)
クラウドの安全性はどうなのか?
委託先となる社労士事務所も、マイナンバーを管理するには当然、厳しい安全管理措置が義務づけられる。そこで情報漏えいリスクを恐れる社労士事務所は、マイナンバーの情報セキュリティをクラウドサービスに託そうと考える。
だが、クラウドだから安全、クラウドだからセキュリティは万全を期しているとは言えない。
2012年にレンタルサーバ会社で起こった約5700件の「データ消失事故」。クラウドに預けていた顧客データが、「雲」が消えるかのごとく消失してしまった。
その原因は人為的なミス。安全なはずのデータも、管理主体が人間である以上、消失のリスクは避けられない。
上記事件の当時、自社にバックアップデータがあった企業は比較的早期にデータ復旧できたが、バックアップデータがない企業は復旧のメドが立たなかった。データ消失事故における損害補償額は、「サービス利用契約約款に基づいて、お客様にサービスの対価としてお支払いいただいた額を限度額として、損害賠償させていただきます」と説明するだけで、サイトにアクセスできないことなどで発生した機会損失については、「損害賠償の対象とはならない」とするだけだった。
クラウドを利用する際、万が一が起きたときの保障も考慮して選ばなければならない。
