マイナンバーの個人への通知が始まりました。来年1月から利用も始まります。
このマイナンバー、業種や従業員数を問わず全ての企業に求められます。源泉徴収票に記載する必要がありますし、税務申告の際の提出書類にも必要となります。人事、経理といったシステムにも入力することになります。
マイナンバーは、法律(マイナンバー法)に準ずる形で扱わなくてはなりません。そのためのガイドライン(特定個人情報の適正な取扱いに関するガイドライン)も出ており、ここに企業が最低限やるべきことが書かれています。プライバシーマーク(Pマーク)やISMS、ISOなどを取得したことがある企業は、ガイドラインに沿うために基本方針を作り、取扱規定書を作るといった対応の流れを知っていると思います。個人情報保護法に対応したことがある企業も同様でしょう。
しかしマイナンバーは、そうした作業に関わったことがない多数の企業も扱うことになります。「基本方針って何?」「取扱規定書って何?」というところから対応を始めなければならないのです。そのうえで、「どのようなセキュリティ対策を立てますか?」「取り扱い、収集方法はどうしますか?」といった会社の決まり事を作っていきます。
決まり事が出来上がったら、それに準じた収集方法で従業員からマイナンバーを収集し、きちんと保管し、利用する。運用はもちろん、従業員の退社などで破棄も発生しますので、廃棄のプロセスまできちんと決めなくてはなりません。保管期間も定められています。
日本年金機構の問題からマイナンバーの収集におけるリスクを考えてみる
日本年金機構では今年、ウイルスメールを用いた不正アクセスを受け、一部の人の基礎年金番号や名前など重要な情報が流出しました。日本年金機構はファイアウオールを入れてなかったわけではなく、ウイルス対策ソフトを入れてなかったわけでもありません。しかし狙われて、情報が流出しました。「重要な情報を持っているので狙われ、対策もある程度していたはずだが、情報流出を防げなかった」というところがポイントです。
ではマイナンバーはどのくらい大事な情報でしょうか? 首相官邸の「高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)」というところで、マイナンバーの分科会が行われています。そこが今年の5月に「マイナンバーのロードマップ」という公開情報を更新しました。見ると、マイナンバーは民間でもさまざまな場面で利用されることになりそうです。そうなると、マイナンバーは攻撃者が一番欲しがる情報になると考えざるを得ません。米国や韓国の社会保障番号なども狙われる対象となっており、被害も出ているという現状があります。そのような重要な情報を、全ての企業が扱わなくてはならないのです。
不正アクセスが難しそうな企業1社から1000件のマイナンバーを盗むのと、そこよりは不正アクセスをしやすそうな企業10社から100件ずつマイナンバーを盗むのと、犯罪者はどちらを選ぶでしょうか? 盗みやすい方を選ぶ可能性もあると思います。中小企業のIT担当者とセキュリティ対策について話をすると、「うちみたいな企業は狙わないよ。別のところを狙うよ」と言われることがあります。重要性を理解しつつも、自社から盗まれることはないと思っているように見えます。今後、企業は規模によらずマイナンバーを持ちますので、全ての企業が標的にされる可能性があると認識すべきでしょう。