ここから本文です

この5つを点検せよ! 企業のマイナンバー対策、最終チェック

ITmedia エンタープライズ 9/26(月) 15:32配信

 2016年1月から始まったマイナンバー制度における企業の対応について、アビームコンサルティングがこのほど実態調査を行った結果を公表した。その内容が示唆に富んでいたので、今回は現時点での企業におけるマイナンバー対策について考察してみたい。

【画像】マイナンバーの取り扱い状況を「定期的にチェックするルール」が決まっていない企業は意外と多い

 アビームの調査によると、既に多くの企業において、従業員とその扶養家族のマイナンバー収集業務が終了したという。

 ただし、マイナンバーの利用は現時点で雇用保険など入社・退職者などに限定されており、健康保険、厚生年金保険などにおいて従業員やその扶養家族のマイナンバーを本格的に取り扱うのは2017年1月以降となっている。また、制度施行後も税制改正や関連手続きの変更などが度重なり、企業においては何をどこまで準備すれば適切なのか、見極めにくい状況となっている。

 そうした点を踏まえて、アビームが2016年5~6月に東証一部の上場企業1917社のマイナンバー対応責任者を対象にアンケート調査を行い、105社の有効回答を集計した結果によると、とりわけ安全管理措置について「制度施行を乗り切るための急場しのぎの対応にとどまり、安全管理が形骸化していくだけでなく、そこに情報漏えいや法令違反が発生するリスクが潜んでいる」ことが判明したとしている。

 この結果を具体的に見ていくと、まず「マイナンバー対応のために実施した(する予定の)組織的安全管理措置」については、「マイナンバー管理責任者、取り扱い担当者が決まっている」との回答が94%に及んだものの、「監査などマイナンバー取り扱い状況を定期的にチェックするルールが決まっている」との回答は49%にとどまった。

 また、「マイナンバー対応のために新たに実施した(実施する予定の)技術的安全管理措置」については、「マイナンバーを管理するシステムへのアクセス制限強化」が72%に及んだものの、「OS、データベース、ソフトウェアのログチェックの強化」は19%にとどまった。

 さらに、「マイナンバー対応のために実施した(する予定の)人的安全管理措置」については、「マイナンバー教育研修の実施ルールを定めている」との回答などが5割を切る結果となった(図3)。これら3つのグラフにおいて黄色くマークされた項目は、アビームが特に注目したポイントである。

●持続的な安全管理に向けた5つのチェック項目

 アビームでは、今回の調査結果から、2017年以降に迎えるマイナンバーの本格的な運用に向けて持続的な安全管理措置が行われているか、次の5つのチェック項目を挙げ、必要な対策を講じるべきだと提言している。

 1つ目は「情報漏えい事故などの不正を未然に防ぐ抑止力が働いているか」。マイナンバーなど、特定個人情報の取り扱いにおいては、セキュリティ事故が企業への信頼に与える影響は非常に大きい。ログなどのチェック結果を定期的に評価、改善し、その取り組みを周知徹底してセキュリティ事故の発生そのものを未然に防ぐ抑止力が働く仕組みを構築する必要がある。

 2つ目は「業務に必須となる運用ルールの策定ができているか」。業務運用ルールを作業単位で定めることは、特定個人情報の漏えいや紛失などを防ぐために最も有効な方法だ。運用ルールの策定のみならず、マイナンバーを適正に取り扱う方法や業務手順などを具体的に定めているか、点検と改善にも注力する必要がある。

 3つ目は「取り扱い担当者に定期的な教育を実施しているか」。人事異動や退職などにより、マイナンバーを取り扱う担当者の入れ替えが随時発生することが想定される。持続可能な安全管理を実現するためには、教育研修の実施ルールを整備し、かつ定期的に実施できる体制を構築することが重要である。

 4つ目は「地方拠点のマイナンバー取り扱い状況が管理できているか」。本社主管部門が教育・指導を行っているものの、実際に地方拠点でどのような措置を講じたのかを確認していない場合が散見される。本社主管部門が地方拠点の運用状況を定期的にチェックし、マイナンバー取り扱い状況を継続的に把握することは、地方拠点からの情報流出リスク防止につながる。

 5つ目は「グループ会社の安全管理措置に不備はないか」。地方拠点へのアプローチと同様に、グループ会社に対しても、組織的、人的、物理的、技術的といった安全管理措置の全てにわたり、本社が継続的に管理・監督や運用状況の点検を実施することが不可欠だ。本社とグループ会社が同じ仕組みで安全管理措置を行うように統制することで、グループ全体のセキュリティレベルを向上させることが可能となる。

 これら5つのチェック項目からなるアビームの提言は、いずれもこれからの企業のマイナンバー対策において重要なポイントである。

 マイナンバー制度は、施行後にシステムトラブルが発生し、通知書やカードの交付がもたついたこともあったが、企業側の対応については今のところ大きなトラブルは起きていない。とはいえ、マイナンバーはこれから本格的に活用されるだけに、アビームが指摘する安全管理上の懸念は肝に銘じておく必要があるだろう。施行から9カ月、あらためてしっかりと点検してもらいたい。

最終更新:9/26(月) 15:32

ITmedia エンタープライズ