導入・選定ガイド

マイナンバー制度についてきちんと理解できていますか?

マイナンバー対策のためのセキュリティ強化ガイド[前編]

文◎西俊明(ライトサポートアンドコミュニケーション) 2015.07.27

  • bookmark
  • Teitter
  • 印刷

マイナンバー制度の開始に向けて、企業は様々な対応を迫られています。セキュリティ対策の強化もその1つです。万一、マイナンバー情報を漏えいしてしまえば、社会的信用の失墜など大きなダメージを被るからです。では、具体的にどうセキュリティを強化していけばいいのでしょうか。前編ではまず、IT担当者が理解しておくべきマイナンバー制度の基礎知識を学びます。

企業におけるマイナンバー制度への対応つづいてマイナンバー制度の開始により、民間の企業では、どのような対応が必要となるのかを見ていきます。

前述の通り、民間企業は現時点ではマイナンバーを利用することはできませんが、マイナンバー制度のために、様々な業務上の対応やシステム改修などが必要です。主な対応は下記3点です。

①従業員のマイナンバーを収集する
②従業員のマイナンバーを管理する
③各行政機関に提出する帳票などにマイナンバーを記載する


①の「マイナンバーの収集」においては、適正な「本人確認」が必要とされています。具体的には、「提示されたマイナンバーが、まちがいなく提示者本人のものであるか」を確認する「番号確認」、「提示者が間違いなく本人であるか(なりすましなどしていないか)」を確認する身元確認の2つを行わなければなりません。これらは適切な書類などを提示してもらったうえで確認し、きちんと記録を残す必要もあります。

また、②③においては、一部の中小企業を除き、多くの企業で情報システムの改修が必要になるはずです。従業員の個人情報管理や、社会保険・税関連の法定調書などの提出帳票印刷には情報システムを利用している企業が大多数だからです。

もちろん、マイナンバーの管理には厳正なる安全管理措置が求められますが、それについては後述します。

マイナンバー対応のスケジュール個人へのマイナンバーの通知は2015年10月から始まり、マイナンバー制度は2016年1月からスタートします。つまり、2015年12月末までに、企業・団体はすべての対応を済ませておく必要があります。あまり時間は残されてはいません。

図表3 民間企業(事業者)のマイナンバー対応スケジュール
民間企業(事業者)のマイナンバー対応スケジュール
出典:『マイナンバー社会保障・税番号制度 民間事業者の対応平成27年5月版』
(内閣官房・内閣府 特定個人情報保護委員会 総務省・国税庁・厚生労働省)
http://www.cas.go.jp/jp/seisaku/bangoseido/download/slidejigyou_siryou.pdf

とはいえ、実をいえば、必ずしも2016年1月までにすべての従業員のマイナンバーを収集したり、システム改修が完了していないと業務が回らないわけでもありません。

たとえば、給与所得の源泉徴収票の場合を考えてみましょう。2016年1月分からマイナンバーの記載を摘要するのであれば、中途退職者などの特別な場合を除き、行政機関への提出期限は2017年1月末となります。

このように、マイナンバー制度開始(=法定調書などへの記載義務化)と実施の提出期限にはタイムラグがありますので、理屈では「それぞれの提出日までに間に合えば(少なくとも表向きには)問題が出ない」と考えてしまう方もいるでしょう。しかし、詳しくは後で触れますが、こうした考え方ですと、セキュリティ面で大きなリスクを抱えることになります。

やはり、スケジュールを明確にして適切に対応を進めて行くことが肝要です。

マイナンバー法と個人情報保護法との関係前述の通り、マイナンバー法では、マイナンバーを含む個人情報を「特定個人情報」と規定しています。この特定個人情報は、従来の個人情報保護法で規定されていた「個人情報」とは、どういった点が異なっているのでしょうか。マイナンバー法と個人情報保護法の違いを理解しておくことも、マイナンバー制度に適切に対応するうえでは欠かせません。

まず重要な違いは、特定個人情報は、従来の個人情報保護法で規定されていた個人情報よりも、厳格な運用・管理が求められていることです。マイナンバー自体が「複数の組織・機関に散在する情報を、同一の(特定の)個人の情報である」と紐づけする際のキーとなる情報ですから、一般の個人情報よりも厳格な運用・管理が求められることは理解できるでしょう。

また、2つの法律の関係についていうと、「マイナンバー法と個人情報保護法の関係」は「特別法と一般法の関係」となっています。

「特別法と一般法の関係」とは、「会社法と民法」の関係を例に考えれば分かりやすいと思います。

たとえば、民法では「契約行為」の一般的な事項について規定されています。それに対して会社法では「商行為において特有な契約行為」について規定されています。つまり、ビジネス上の契約を行う際には、まず会社法の規定を優先し、そこに記載されていない事項については一般法である民法の規定を採用する、という考え方を採るのです。

特定個人情報についても、まずはマイナンバー法に記載されている規定を優先し、そこに記載がなければ個人情報保護法の記載を適用することになります。

これまでの個人情報保護法で求められている点と比べて、具体的にはどのように異なるのでしょうか。そのことを説明する前に、まずは「個人情報」の定義について、今一度確認しておきましょう。

個人情報とは(個人情報保護法第2条第1項)
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう


上記条文中にある氏名・生年月日の他、住所・メールアドレス・本人と認識できる写真などの画像、肉声の音声データなども個人情報とされます。

それでは、マイナンバー法と個人情報保護法が求める運用・管理の相違について見ていきましょう。

(1)故人の情報も管理対象となる
まず、条文中にある通り、個人情報保護法では「生存する個人に関する情報」が対象ですが、マイナンバー法では、故人に対する特定個人情報も管理対象となります。

(2)すべての事業者が対象となる
次に、それぞれの法の対象となる事業者の範囲です。個人情報保護法では、過去半年以内に5000件以上の個人情報を取り扱った事業者のみが法の対象となりますが、マイナンバー法ではすべての事業者が対象となります。

(3)たとえ本人の同意を得ても、目的外利用はできない
個人情報の場合は、本人の同意を得れば、利用することができる業務の範囲に制限はありませんが、特定個人情報は本人の同意があっても「社会保障・税・災害対策」以外の目的には利用できません。

(4)罰則の規定が厳しい

個人情報保護法に比べ、マイナンバー法の罰則の規定の方が厳しくなっています。また、個人情報保護法を違反した場合、まずは行政指導が入り、それに対して従わないなど適切な対応をしない場合のみ刑罰が科せられる「間接罰」という方式がとられていますが、マイナンバー法では行政指導を経ないで刑罰が科される「直接罰」という方式が採られていますので、法令順守の徹底がさらに重要となります。

 

スペシャルトピックスPR

ms1804
caso1804
ted1804

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】プライベートLTEと
   5G URLLCの世界

[第一部]プライベートLTE 
●“Wi-Fi超え”の企業無線/●プライベートLTEを構築しよう [第二部]5G URLLC ●5Gの目玉「URLLC」とは?/●202X年、5Gはこう使う

◆[インタビュー] NTT 篠原弘道副社長 「B2B2Xで広がる可能性」 ◆クラウド管理型無線LAN ◆WAF ◆光伝送で進むオープン化

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

インテル5Gをエンドツーエンドでカバー
新たな価値創出を目指すインテル

インテルは強みの仮想化技術で5G時代のネットワーク構築に貢献する。

コマーチキャリア向けOSS/BSSに強み
自動化やe-ヘルスで社会課題解決

自動化やe-ヘルスで多くの実績を持つコマーチが日本市場に参入した。

ブロードメディア・テクノロジーズAryakaで日中間通信を安定化
中国インターネットの問題を解決!

日系企業の中国ビジネスに立ちはだかるのが通信環境の問題だ。

IIJグローバルソリューションズ日中間ネットワークの安定運用へ
VPN規制を乗り切る解決策提供

安定的な越境通信を実現するには何が必要か?

NTTコミュニケーションズIoTビジネスの種まきから結実まで
NTT Comの「次の一手」とは

自社発行型eSIMでの新サービス提供に期待!

SAS Institute Japanデータ分析の老舗、SASが提案するIoT時代のデータ活用

IoTのはじめの一歩を踏み出す前に考えるべきポイントは?

SigfoxSigfoxが開始1年で100万回線!
いよいよ花開くIoTビジネス

LPWAの代表格「Sigfox」の最新動向と活用事例を徹底レポート!

WatchGuard Wi-Fi Cloud不正APを自動遮断するWIPS搭載!
ソーシャルWi-Fiで販促支援も

セキュアな無線LAN環境を実現できる「WatchGuard Wi-Fi Cloud」

無線LAN構築・運用のポイントをSCSKが語る

無線LANの大きなトレンドとなっている「クラウドWi-Fi」で課題解決!

ジェイピー・セキュア導入実績100万サイト以上の
国産WAF「SiteGuard」

業界最速レベルで防御機能を提供するジェイピー・セキュアのWAF製品

ライムライト・ネットワークスクラウド型WAFでWebサイトを保護

ライムライトなら、自社のCDNやDDoS対策との多層防御でオリジンサーバーを攻撃から防御できる。

Office 365ユーザは使わなきゃ損
Teamsでチームワークが劇的に!

Office 365の新ツール「Teams」を使い始める企業が続出している。

CASO新技術のホワイトボックス
M2Mルーターは「切れない接続」

Foxconnグループでホワイトボックスを展開するCASO。

東京エレクトロンデバイスグローバル企業のSaaS活用を後押し
マルチクラウド化の準備はCASBで

マルチクラウドを一元的に管理したい。そんな望みを叶えられる。

拠点・モバイルをつなぐだけ!
クラウドの安全はシンプルに守る

クラウド利用の拡大とともに複雑化するセキュリティ課題を解決!

NetskopeCASBでクラウドはどこまで操れるか
既存のセキュリティとどう違う?
 

Netskopeを例にCASBの機能と使い方、メリットを整理した。

ソフトバンクソフトバンクがSMB向けの
ソリューションパートナー募集!

働き方改革を中心に新たなソリューション開発を支援する。

日本マイクロソフトSkype for Businessを
快適に使いこなすコツとは?

UCの導入効果を最大化するためには備えが必要だ。

日本ビジネスシステムズ“電話”からはじめる働き方改革!

日本ビジネスシステムズのクラウドPBXは、働き方改革を目指す日本企業にピッタリのIP電話サービスだ。

Dialpadピュアクラウドで進化し続ける電話

「PBXを買いたくない」「電話回線を引きたくない」。そんな企業に最適なクラウドテレフォニーがある。

東京エレクトロンデバイスIoTデバイス特化のAIで異常検知

IoTデバイスを狙ったマルウェアが急増中だ。ZingBox IoT Guardianは、IoTに特化したAIで検知する。

Aruba次世代NACでIoTの脅威をブロック

Arubaの次世代NACはエージェントレスでIoT端末にも対応! リスクを検知し有害端末を隔離できる。

アクセスランキング

月刊テレコミュニケーション20180226
ngn
compass

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます