安全管理措置の要点整理
1~3が、このように確認できれば、残るは4の「マイナンバーを収集する前までに安全管理措置を検討し準備する」ことになりますが、どこまでやれば本当によいのか目安がはっきりしないため、具体的な準備にはいれないままの中小企業が多いのではないでしょうか。
ガイドラインでは、安全管理措置として、組織的安全管理措置・人的安全管理措置・物理的安全管理措置・技術的安全管理措置の4つを掲げ、これらの前提として基本方針や取扱規定等の策定を求めています。
まず責任者、担当者を決め、「してはならないこと」、「しなければならないこと」を確認する
ガイドラインにそって準備を進めようとすると、基本方針や取扱規定等の策定から始めることになりますが、これらは義務ではありませんので、これらの作成に時間を費やすよりは、まず、組織的安全管理措置として、マイナンバーの取扱担当者および責任者を決め、マイナンバーの収集から利用・提出、保管・廃棄といったプロセスで、「してはならないこと」「しなければならないこと」を確認した上で、担当者および責任者がどのようにマイナンバーを取り扱うのかマニュアル化する(そのマニュアルがそのまま取扱規定となります)から始めましょう。
また、マイナンバーの収集から利用や提出、保管・廃棄といったプロセスで、「してはならないこと」「しなければならないこと」を確認することは、そのまま担当者への教育にもなり、人的安全管理措置の課題を実行することにもなります。この「してはならないこと」、「しなければならないこと」を確認するうえでの、教育素材としては内閣官房のマイナンバーホームページで公開されている「動画で見るマイナンバー(事業者向け)」が、簡潔にまとめられていますので視聴されることをお勧めします。
マイナンバーを漏えいなどから守るために準備すること 物理的・技術的安全管理措置
中小企業でも給与の情報は担当者以外に漏れないように運用しています。マイナンバーの記載が必要な書類を作成する業務でも、従来給与計算業務で行っている程度の「守る」措置を講じればよいと考えることはできます。
例えば、給与計算をPCで行う場合と同様に、マイナンバーを表示している画面を覗き見できないようにPCを配置する、マイナンバー記載の書類は給与情報などと同様に鍵のかかる書棚などに収納し施錠管理するなどの措置で、ある程度物理的安全管理措置をみたすことはできます。
ただし、マイナンバーの漏えいなどに対する罰則規定を考えると、さらにマイナンバーを格納したPCの盗難防止のためにセキュリティワイヤで固定する、または使用しないときはロッカーなどに収納し施錠管理するなどの追加対策も講じることが大事です。そして、施錠管理する場合の鍵の管理も従来より厳格にすることも大事な措置となります。
これらは、利用や保管といったシーンに対する物理的安全管理措置となりますが、おなじくこれらのシーンで必要となるアクセス制御やウィルス対策などの技術的安全管理措置が必要となります。ウィルス対策は、ウィルス対策ソフトを導入することでOKですが、アクセス制御は使用しているソフトウエアの対応にまかせることになるかと思います。
以上は、利用や保管についての物理的、技術的安全管理措置についての話ですが、マイナンバーの取り扱いの入り口となる収集のシーンではどのようにすればよいのでしょうか。集めなければならないマイナンバーの数によっては最も手間のかかる作業となるのが、マイナンバーの収集です。
次回は、このマイナンバーの収集に焦点を当てつつ、内部で処理する場合や外部に委託する場合などの課題について整理していきたいと思います。
- 中尾健一 アカウンティング・サース・ジャパン 取締役マイナンバーエバンジェリスト 1982年日本デジタル研究所 (JDL) 入社。日本の会計事務所のコンピュータ化を30年以上にわたりソフトウェア企画面から支えてきた。2009年、税理士のためのクラウド税務・会計・給与システムを企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、主にマイナンバー制度が中小企業に与える影響や具体的対応策に関して解説する。
