マイナンバーとは?
マイナンバーは、住民票を有する全ての人に配布された12桁の番号です。平成28年1月から、「税」「社会保障」「災害」などの分野で活用が始まりました。
将来的には、「戸籍」「パスポート」「預貯金」等への活用が検討されています。
私にも何か対応が必要なの?
皆さんマイナンバーへの対応が必要です。税金や社会保険の手続きでは、従業員などからマイナンバーを本人確認した上で収集し、官公庁への提出書類などに記載しなければなりません。
マイナンバーの対象者は、役員、パート、アルバイトを含む従業員だけではなく、その扶養家族など広範囲にわたります。
そして、その収集から保管・利用・破棄に至るまで、厳格な管理が義務づけられています。
情報漏えいや不正利用の可能性!?
そこで心配になるのは、マイナンバーの情報漏えいや不正利用の問題です。今まで、重要な個人情報を持つことが少なかった中小企業にとって、大きくリスクが増加しました。
ちなみに、マイナンバーの情報漏えいが発生した場合は、企業イメージの低下だけでなく、損害賠償、厳しい刑罰などが待ちうけています。
では、どういった対策が必要なの?
マイナンバーは、将来的に「戸籍」や「預貯金情報」など利用範囲も拡大し、その情報を狙われる危険性が大いにあります。
そこで、皆さんはマイナンバーをしっかり管理し、インターネットを介した「外部からの攻撃リスク」に加え、社内環境や人的ミスなど「内部からの情報漏えいリスク」にも目を向ける必要があります。
以下に、簡単にできるセキュリティ対策をまとめてみました。
1.外部対策
(1)ファイアウォール等を設置する
外部からの不正アクセスを防止するため、外部ネットワークとの接続部分には、ファイアウォール等を設置します。
(2)各PCのウィルス対策を行う
会社で使っている各PCは、ウィルス対策ソフトなどで対策を講じていると思いますが、改めてその確認をします。
また、各PCのOSやソフト等のアップデートも、忘れずに実行しておきましょう。
(3)メールには十分注意する。
日本年金機構が、ウィルスメールによる不正アクセスを受け、年金情報が外部流出したことは、記憶に新しいところです。
皆さんも、スパム(迷惑)メールに対しては、メールを開封しない。知らない人からの添付ファイルは開かないといった注意が必要です。
2.内部対策
(1)マイナンバー担当者を限定する
まず、マイナンバーを取り扱う担当者(できれば少人数)を決めます。そうすることで、内部からの漏えいリスクを少なくします。
(2)アクセス制御をする
社内のシステム上にマイナンバーを保管する場合は、アクセス権を付与して、マイナンバーを取り扱える人を限定します。
また、マイナンバーへのアクセスログを管理できる体制にしておき、管理者が定期的に監視し、不審な動きがないかチェックします。
また、USBメモリなどへのデータの書き出しを制限することも必要でしょう。
(3)外部へPCの持ち出しはしない
実は、個人情報漏えいの原因として多いのは、紛失・置き忘れや盗難です。
マイナンバーが入ったPCは、盗難や置き忘れなどの危険性があるので、持ち出さないようにしましょう。
また、USBメモリなどで管理する場合は、USBは落とす、無くすことを想定して、あらかじめデータにパスワードをかけておくなどの対策も必要です。
(4)情報の取り扱う区域を決めて、物理的に隔離する
社内では、マイナンバーなどの個人情報を取り扱う区域を区分します。
マイナンバーを管理する区域に入る際は、できればICカードなどで入退室を管理することが理想です。
それが難しい場合には、最低限パーテーションなどを設置して、明確に区分するようにしましょう。
会社が重要な情報を隔離し、内部けん制することで、情報漏えいリスクを減らし犯罪等の抑止にもつながります。
(5)PCの廃棄処分は確実に
PC内のデータファイルは、「ゴミ箱」に入れて削除したつもりでも、HDD(ハードディスク)からは、完全に消えていません。削除したはずのデータファイルは、復元ソフトなどを使って簡単に復元することができます。
ですから、PCを廃棄等する場合は、HDDのデータを完全に消去するソフトを使ったり、HDDを物理的に破壊するなどの対応が必要です。
うっかり、中古パソコン店等に売ったPCから、マイナンバーのデータが流出したといった事態となっては目もあてられません。
皆さんが、管理することとなった重要な個人情報である「マイナンバー」。
こうしたマイナンバーへの対応を「面倒くさい」と考えずに、「マイナンバー対策をする」=「自社の情報セキュリティ対策の見直し」の機会と捉えて、積極的に取り組んでみてください。