導入・選定ガイド

マイナンバー制度についてきちんと理解できていますか?

マイナンバー対策のためのセキュリティ強化ガイド[前編]

文◎西俊明(ライトサポートアンドコミュニケーション) 2015.07.27

  • bookmark
  • Teitter
  • 印刷

マイナンバー制度の開始に向けて、企業は様々な対応を迫られています。セキュリティ対策の強化もその1つです。万一、マイナンバー情報を漏えいしてしまえば、社会的信用の失墜など大きなダメージを被るからです。では、具体的にどうセキュリティを強化していけばいいのでしょうか。前編ではまず、IT担当者が理解しておくべきマイナンバー制度の基礎知識を学びます。

企業におけるマイナンバー制度への対応つづいてマイナンバー制度の開始により、民間の企業では、どのような対応が必要となるのかを見ていきます。

前述の通り、民間企業は現時点ではマイナンバーを利用することはできませんが、マイナンバー制度のために、様々な業務上の対応やシステム改修などが必要です。主な対応は下記3点です。

①従業員のマイナンバーを収集する
②従業員のマイナンバーを管理する
③各行政機関に提出する帳票などにマイナンバーを記載する


①の「マイナンバーの収集」においては、適正な「本人確認」が必要とされています。具体的には、「提示されたマイナンバーが、まちがいなく提示者本人のものであるか」を確認する「番号確認」、「提示者が間違いなく本人であるか(なりすましなどしていないか)」を確認する身元確認の2つを行わなければなりません。これらは適切な書類などを提示してもらったうえで確認し、きちんと記録を残す必要もあります。

また、②③においては、一部の中小企業を除き、多くの企業で情報システムの改修が必要になるはずです。従業員の個人情報管理や、社会保険・税関連の法定調書などの提出帳票印刷には情報システムを利用している企業が大多数だからです。

もちろん、マイナンバーの管理には厳正なる安全管理措置が求められますが、それについては後述します。

マイナンバー対応のスケジュール個人へのマイナンバーの通知は2015年10月から始まり、マイナンバー制度は2016年1月からスタートします。つまり、2015年12月末までに、企業・団体はすべての対応を済ませておく必要があります。あまり時間は残されてはいません。

図表3 民間企業(事業者)のマイナンバー対応スケジュール
民間企業(事業者)のマイナンバー対応スケジュール
出典:『マイナンバー社会保障・税番号制度 民間事業者の対応平成27年5月版』
(内閣官房・内閣府 特定個人情報保護委員会 総務省・国税庁・厚生労働省)
http://www.cas.go.jp/jp/seisaku/bangoseido/download/slidejigyou_siryou.pdf

とはいえ、実をいえば、必ずしも2016年1月までにすべての従業員のマイナンバーを収集したり、システム改修が完了していないと業務が回らないわけでもありません。

たとえば、給与所得の源泉徴収票の場合を考えてみましょう。2016年1月分からマイナンバーの記載を摘要するのであれば、中途退職者などの特別な場合を除き、行政機関への提出期限は2017年1月末となります。

このように、マイナンバー制度開始(=法定調書などへの記載義務化)と実施の提出期限にはタイムラグがありますので、理屈では「それぞれの提出日までに間に合えば(少なくとも表向きには)問題が出ない」と考えてしまう方もいるでしょう。しかし、詳しくは後で触れますが、こうした考え方ですと、セキュリティ面で大きなリスクを抱えることになります。

やはり、スケジュールを明確にして適切に対応を進めて行くことが肝要です。

マイナンバー法と個人情報保護法との関係前述の通り、マイナンバー法では、マイナンバーを含む個人情報を「特定個人情報」と規定しています。この特定個人情報は、従来の個人情報保護法で規定されていた「個人情報」とは、どういった点が異なっているのでしょうか。マイナンバー法と個人情報保護法の違いを理解しておくことも、マイナンバー制度に適切に対応するうえでは欠かせません。

まず重要な違いは、特定個人情報は、従来の個人情報保護法で規定されていた個人情報よりも、厳格な運用・管理が求められていることです。マイナンバー自体が「複数の組織・機関に散在する情報を、同一の(特定の)個人の情報である」と紐づけする際のキーとなる情報ですから、一般の個人情報よりも厳格な運用・管理が求められることは理解できるでしょう。

また、2つの法律の関係についていうと、「マイナンバー法と個人情報保護法の関係」は「特別法と一般法の関係」となっています。

「特別法と一般法の関係」とは、「会社法と民法」の関係を例に考えれば分かりやすいと思います。

たとえば、民法では「契約行為」の一般的な事項について規定されています。それに対して会社法では「商行為において特有な契約行為」について規定されています。つまり、ビジネス上の契約を行う際には、まず会社法の規定を優先し、そこに記載されていない事項については一般法である民法の規定を採用する、という考え方を採るのです。

特定個人情報についても、まずはマイナンバー法に記載されている規定を優先し、そこに記載がなければ個人情報保護法の記載を適用することになります。

これまでの個人情報保護法で求められている点と比べて、具体的にはどのように異なるのでしょうか。そのことを説明する前に、まずは「個人情報」の定義について、今一度確認しておきましょう。

個人情報とは(個人情報保護法第2条第1項)
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう


上記条文中にある氏名・生年月日の他、住所・メールアドレス・本人と認識できる写真などの画像、肉声の音声データなども個人情報とされます。

それでは、マイナンバー法と個人情報保護法が求める運用・管理の相違について見ていきましょう。

(1)故人の情報も管理対象となる
まず、条文中にある通り、個人情報保護法では「生存する個人に関する情報」が対象ですが、マイナンバー法では、故人に対する特定個人情報も管理対象となります。

(2)すべての事業者が対象となる
次に、それぞれの法の対象となる事業者の範囲です。個人情報保護法では、過去半年以内に5000件以上の個人情報を取り扱った事業者のみが法の対象となりますが、マイナンバー法ではすべての事業者が対象となります。

(3)たとえ本人の同意を得ても、目的外利用はできない
個人情報の場合は、本人の同意を得れば、利用することができる業務の範囲に制限はありませんが、特定個人情報は本人の同意があっても「社会保障・税・災害対策」以外の目的には利用できません。

(4)罰則の規定が厳しい

個人情報保護法に比べ、マイナンバー法の罰則の規定の方が厳しくなっています。また、個人情報保護法を違反した場合、まずは行政指導が入り、それに対して従わないなど適切な対応をしない場合のみ刑罰が科せられる「間接罰」という方式がとられていますが、マイナンバー法では行政指導を経ないで刑罰が科される「直接罰」という方式が採られていますので、法令順守の徹底がさらに重要となります。

 

スペシャルトピックスPR

microsoft1801
checkpoint1801
logicool1801

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】ネットワーク未来予想図
     ~これから2020年までに起こること~


◆[インタビュー]原田博司 京大教授「Wi-SUN FANが海外で人気! LPWA市場で世界第3位へ」 ◆ブロックチェーンにIoT担当者が注目すべき理由 ◆SD-WANの2018年 ◆Skype for Businessが働き方を変える ◆“業界3位” エクストリームネットワークスの野望

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

日本マイクロソフトWindows 10/Office 365の更新
これだけ知っていれば怖くない!

ネットワーク帯域を圧迫するアップデートをうまく乗り切るには?

チェック・ポイント・ソフトウェア・テクノロジーズチェック・ポイントのSMB戦略
あらゆる環境で攻撃を未然に防ぐ

日本向けにローカライズし、パートナーもユーザーも扱いやすく。

ロジクールSkype for Business用
会議室コンソール「SmartDock」

働き方改革に有効なSfB会議が簡単かつ安全に始められる!

協和エクシオSfB導入の課題解決をサポート

協和エクシオは通建事業60年のノウハウを活かし、Skype for Business導入トータルサービスを提供する。

ソフトバンクSkype for Businessの利用促進
コスト大幅削減を実現するには?

ソフトバンクのGlobalMeet電話会議サービスで実現可能だ。

ブロードメディア・テクノロジーズグローバル企業の悩みを一掃!
“本当に使える”SD-WAN基盤

WANの課題を一掃するAryakaの
SD-WANが心強い味方になる。

NECネッツエスアイSilver PeakのSD-WANは
独自技術でSaaS通信をフル制御

「SaaSを快適かつ安定的に使いたい」という企業ニーズに応える。

日商エレクトロニクスクラウドが快適に使えるSD-WAN

日商エレクトロニクスが販売する「Cisco SD-WAN」(旧Viptela)は、常に進化し続けるSD-WANだ。

サクサ中小企業も容易にセキュリティ対策

サクサのUTM「SS5000」は、コンパクトながら充実機能。外部だけでなく内部の脅威にも対応できる。

Office 365ADCでOffice 365通信の課題解決!

Office 365通信の課題であるプロキシ/FWの負荷増大と運用の複雑化を一気に解決するのがADCだ。

ウォッチガード・テクノロジー・ジャパンネットワークとPCを同時に守る!

ウォッチガードはNW防御にエンドポイントでのセンサー技術を組み合わせ、包括的で効果的な対策を実現!

サイバーリーズンAIで攻撃の兆候をリアルタイム検知
既知だけでなく未知の脅威も防御

AIを活用した独自分析技術で、悪意ある振る舞いを検知するEDR製品。

パロアルトネットワークスGTP-C/GTP-Uのセキュリティ強化
次世代FWをモバイル網に適用

携帯電話事業者のネットワークは次世代ファイアウォールが守る。

NECマグナスコミュニケーションズPHS/ISDNからLTEへ簡単移行!

「マルチキャリアで冗長化したい」「シリアルI/Fなど既存環境に手を加えたくない」といった声に応える。

アットマークテクノ柔軟な拡張性・出荷実績30万台の
安心感の日本製IoTゲートウェイ

ASEAN中心に認証を取得で、IoTシステムの海外展開にも便利だ。

Office 365導入を成功に導くため NWを見直すべき10のポイントOffice 365導入を成功に導くため NWを見直すべき10のポイントOffice 365導入を成功に導くため
NWを見直すべき10のポイント

実際の失敗例をもとに、ネットワークの見直しのポイントを整理する。

無線LAN APだけで電子証明書も運用可能に 運用管理を容易化する工夫も満載!無線LAN APだけで 電子証明書も!

ヤマハのAPは内蔵コントローラ で複数のAPを統合管理できる。セキュリティ機能も充実だ。

Wi-Fiの見えない脅威を可視化・防御 ワイヤレスIPSをお求めやすい価格で!「見えない脅威」にさらされている
無線LANをどう守る?

Wi-Fiの見えない脅威を可視化・防御するワイヤレスIPSを手頃な価格で!

オンプレミス型のPBX/ビジネスフォンは“時代遅れ”では決してない。

機械学習/AIを使った自律運用型ネットワークをArubaは提案する。

ウォッチガードなら「導入運用の容易性」と「強固なセキュリティ」を兼ね備えたWi-Fi環境が手に入る。

アクセスランキング

月刊テレコミュニケーション201712
wj2018a
compass
packet

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2017 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます