コラム

column

マイナンバー導入にあたり

私はサービス業の社員50名程度、いわゆる中小企業の総務課長を勤めております。

普段は社内で使う備品やパソコン等の管理を行っておりますが、マイナンバー制度の実施に伴い社員のマイナンバー管理業務の責任者になりました。

兎にも角にも、一体どのような制度なのか知るために、マイナンバー関連の資料を集めることにしました。

資料を集める途中で、特定個人情報保護委員会事務局*1提供の中小企業向け[はじめてのマイナンバーガイドライン]*2なる資料の存在を知りました。

中身はと言いますと、企業がマイナンバー管理・運用するためのルールが「取得・利用・提供」「保管・廃棄」「委託」「安全管理措置」の 4箇条にまとめられてそれぞれの項目毎に適切な処置を施しなさいという内容です。

様々な処置

私は総務課内に専門の「マイナンバー管理部」を立ち上げ、部下数名と共にこの資料を元に作業を進めることにしたのです。

現在は、国内の専門業者よりUTMを導入し、監視を行っておりますが、導入までに紆余曲折があり制度実施間近で運用を開始することが出来ました。 我が社に限らず、マイナンバーの管理に手を焼いている企業が多いと聞きましたので、 参考までに私とチームがどのようにして、現在の管理システムを導入したのかをお話させて頂きます。

社員のマイナンバー、何に使うのか?

社員のマイナンバーを管理するために、まずはマイナンバーを集めなければなりませんが、そもそもマイナンバーは企業でどのうに使われるのか?

資料によりますと、"社会保障及び税に関する手続書類"に使われるとあります。 具体的には、「源泉徴収票」「支払調書」「健康保険」「厚生年金保険被保険者資格取得届」などが該当します。 源泉徴収票などは全社員に毎年発行しますし、入社・退社の際には年金の手続きも必要となります。

そもそも、「マイナンバー制度」とは国民に分かりやすく浸透させる為に付けられた仮称で、正式名称は「社会保障・税番号制度」です。 その名の通り、社会保障・税務関連の書類には必ずマイナンバーが使われると思ったほうがいいでしょう。

多くの届けにマイナンバーが使われるため、管理が大変だと思いますが、恩恵として手続きが簡略化されスムーズに進むので、大きなメリットもあります。

・マイナンバーのリスク

ただし、メリットの反面注意すべき点もあります。

制度で定められている場合以外は、マイナンバーを利用・提供することが出来ないのです。 もし、故意又は事故により、マイナンバーを利用・流出させてしまった場合、厳しい罰則が課される事になります。 個人情報の流出には「個人情報保護法」により罰則が設けられていましたが、マイナンバー制度実施に合わせ新たに[番号法]が施行されました。

マイナンバー

内閣官房HPより

社員の中にマイナンバーを不正に利用したり流出させる者など居ないと信じておりますが、事故の可能性は否定できません。

個人情報の流出事件や事故の記事を度々新聞で見ますが、サービス業を生業としている我が社にとって社会的信用の失墜は致命的です。

マイナンバーのメリットとリスクを肝に銘じておく必要があります。

マイナンバーを守る安全管理措置とは?

マイナンバーの管理には大きなリスクがある事は理解しましたが、一体どのように管理していけばいいのか?

資料には"必要かつ適切な安全管理措置が必要です。"と書いてあります。「安全管理措置」とは、下記4つの措置により、企業がマイナンバーを管理するための指針なのです。

  • ○組織的安全管理措置
  • ○人的安全管理措置
  • ○物理的安全管理措置
  • ○技術的安全管理措置

次に、各措置について簡単に説明を行います。

組織的安全管理措置とは?

企業において、マイナンバーを管理するための組織体制を築き責任者を設けるという事です。

我が社に例えるならば、「マイナンバー管理部」が組織体制に当たり、責任者が私になります。

運用内容としては、マイナンバーを使用した書類の作成日・提出日をチェックリストに記録し、 どの部所の誰がマイナンバーを使ったのか、そしてどの部所の誰に書類を提出したのかを全て把握出来るようにしています。

人的安全管理措置とは?

これはマイナンバーを取り扱う担当者への教育・監督を行うという事です。 管理責任者とその部下、取り扱う頻度の高い経理・人事の担当者に対しても教育をする必要があります。

セミナーへ参加したり、民間の実務検定を受講するなどして制度への理解を深めることも有効でしょう。

また、全社員に対してもマイナンバー運用の指針を説明することも肝心です。

物理的安全管理措置とは?

社員のマイナンバーを保管している電子機器や紙資料に対して鍵を掛けるなどの安全対策を施すという事です。 我が社の場合、総務課が管理しているサーバーに全社員のマイナンバーを保管しています。

サーバーを設置している部屋にはカードキーを設置し、担当者以外入ることが出来ません。 担当者が入室する際には、スマートフォン等の電子機器は持ち込ませず、情報が流出しないよう徹底して管理を行っております。

技術的安全管理措置とは?

多くの企業がマイナンバーを含めた社員の個人情報をサーバーへ保管している事と思います。

その個人情報を保管しているサーバーに対して情報が流出しないように安全対策を施すという事です。 第三者に利用されないようパスワードを頻繁に変えたり、アクセスの権限を限定することも効果的です。

また、忘れがちになりますが、セキュリティーソフトを常に最新の状態に保つことも大切です。 特にインターネットへ接続しているサーバーへ個人情報を保管している場合は重要になります。

以上、4つの措置を施すことにより、マイナンバーを安全に管理することが出来るのです。

私は、マイナンバー管理責任者として作業を進め、組織体制を見直し担当者の教育もスムーズに行え見通しは明ると思っておりました。

あとは、サーバーへ保管し管理するだけだと思っていたのですが、思いがけない落とし穴が待っていたのです・・・。

マイナンバーの保管方法

マイナンバーを安全に管理するためには、4つの措置が重要であると理解しました。

人的措置である、「組織的安全管理措置」「人的安全管理措置」に関しては、組織体制を構築し管理責任者も決まっているので、 次に課題となるは、サーバーやセキュリティーといった物理的な措置である「物理的安全管理措置」「技術的安全管理措置」です。

マイナンバーを何で保管するのか?

一昔前であれば、社員の情報等は紙の台帳で保管をしておりましたが、今では殆どの企業はデジタル化したデータで保管している所が多いと思います。

紙が悪いと言っている訳ではありません。 企業の中には、マイナンバーを紙で保管しているところもあるでしょう。 ただし、「物理的安全管理措置」「技術的安全管理措置」考慮した場合、紙で保管する場合は幾つか注意すべき点があります。

紙で保管する場合のデメリット

デジタル化したデータであれば、何点経っても破損や劣化の心配はありありませんが、紙の場合は、水や汚れに弱く、経年劣化等により破損しやすいという点です。

次に、不正取得の危険性が高いという点です。

デジタル化データでも紙でも保管する場所やサーバー等には物理的な鍵を掛ける必要があります。

これは、「物理的安全管理措置」に当たる部分ですが、紙の場合は「技術的安全管理措置」を施す事が出来ないのです。

デジタル化データの場合、流出してしまってもファイルにセキュリティーがかかっている為、情報を閲覧する事は出来ませんが、紙の場合は直ぐに閲覧できてしまいます。

さらには、コピー機などを使い何枚でもコピーする事が出来るのです。 また、紛失等の人的ミスによる流出も懸念されます。

このように、紙でマイナンバーを保管する際は、デジタル化データで保管するよりも多くのデメリットがあると理解しましょう。

マイナンバーはデジタル化データで保管する

マイナンバーは安全に管理するという事が大前提ですので、リスクは少しでも抑える事が肝心です。その為、デメリットの多い紙ではなく、デジタル化データでの保管を強くお勧めします。

マイナンバーをデジタル化データで保管する事に決めたわけですが、次はどの機器に保管するのかを決めなければいけません。パソコン・外付けのハードディスク・サーバー、色々な電子機器があります。

はたして、マイナンバーを唖然に保管するためには、どれが一番適しているのでしょうか。

マイナンバーは何に保管するのか?

デジタル化したマイナンバーを保管するために、数ある電子機器の中から一番安全で管理がしやすい物を選ばなければなりません。

NASはマイナンバーを保管出来るのか?

まず、私が最初に思いついたのがNASでした。

元々我が社ではNASを使い情報の共有化を図っており、必要なデータはNASに保管して各社員がそれを閲覧できるようにしています。

予算も決まっている中で、数万円で購入出来るNASは魅力的です。

担当者のみがアクセス出来るようパスワードを設定し、データが流出した場合に備えて暗号化ソフトを導入すれば直ぐにでも運用が行えます。

思いの外、簡単に見つかったなと考えていた私でしたが、そこまで甘くはありませんでした。

NASで保管するリスク

早速、製品を注文しようと、インターネットで探している時でした。

NAS製品の関連検索の中に、NASを持ちだした情報流出事件の記事を見つけたのです。

その記事によると、顧客情報を管理しているNASが事務所から盗み出されて名簿が流出してしまったとの事。

安価でセキュリティーを掛けることが出来るNASですが、それごと盗まれては何の意味もありません。

それならば、NASを保管している部屋を厳重に管理すればいいのでは?と思いましたが、NASのリスクはそればかりではありませんでした。

管理機能の問題点

NASにはどのパソコンからアクセスがあったかを記録しているログ機能が備わっていますが、細かいファイルのログまでは取得できない事が分かりました。

マイナンバーを利用する担当者は各々の担当に応じて社員の必要なデータを閲覧・修正をすることになりますが、誰がアクセスしたのかは分かっても、どのファイルをどのように編集・閲覧したのかはログとして残らないのです。

これでは、担当者が必要のない情報を閲覧しいても気づく事が出来ません。

余り同僚を疑いたくはありませんが、マイナンバーを管理する上では非常に大きなリスクと言えるでしょう。

また、バックアップにも問題があります。

サーバーへデータを保管する場合、データの種類や更新頻度に合わせて、バックアップの方法を変更出来、データが破損した場合も復元可能ですが、NASにはそれほどのバックアップ機能が備わっていません。

「物理的安全管理措置」は保管場所を工夫したり、施錠を何重にもするなどして対処は出来ますが、「技術的安全管理措置」を機能そのものが備わっていないため、解決することは困難です。

NASという機器自体は情報の共有や管理に適しており便利な機器です。

しかし、マイナンバーのような重要で管理を徹底するデータを保管するには向いていません。

NASと同じような機能を備えて、安全に管理が出来る機器は他には無いのか・・・。

考えあぐねた私は、インターネットを使いマイナンバーを保管できる方法が他にないのかを調べました。

外部サーバーで保管する、管理会社に委託するなど、予算外の情報ばかりで中小企業の我が社に見合うような物はなかなか見つかりません。

その時でした。私の目に、[UTMと社内クラウドでマイナンバー対策]という言葉が目に入ったのです。

UTMと社内クラウドでマイナンバーを保管できるのか?

NASで運用するリスクを知った私は、他に代替となる機器が無いかとインターネットを使い情報を集めていました。

そこで見つけたのが、[UTMと社内クラウド]を組み合わせマイナンバー対策をするという「マイナンバー入門センター」でした。

クラウドは最近多くの企業でも導入しているサービスで、私も知っておりましたが、UTMという言葉は初耳でした。

UTMとクラウドを使ってどの様にマイナンバーを管理するのか、理解を深めるために、新ためてこの2つを調べることにしたのです。

そもそもクラウドとは?

クラウドは最近良く耳にする言葉ですね。

複数のサーバーによりネットワーク上へ保管場所(ストレージ)を構築してデータを保管し、社内は勿論、外出先や自宅でもデータをやり取り出来る便利なネットワークシステムです。

ストレージに保管されたデータは暗号化された上で複数の情報として分散格納されるため、消えることがありません。

また、複数のユーザーが利用することを前提としているため情報管理や安全対策も充実しており、重要な情報を保管したり、バックアップ用のストレージとして利用されています。

システムの規模は様々で数百台のサーバーを使う大規模クラウドから1つのサーバーで運用される場合もあります。

世界中の企業や人々がサービスを利用しており、現代のネットワーク社会を支える基幹システムとなっています。

UTMと社内クラウド使っている機器は大丈夫?

私は遂に、マイナンバーを保管する最適なシステムを見つけることが出来ました。 ですが、焦っては行けません。

UTMとクラウドがどれだけ優れていても使っている機器そのものに問題があれば、意味がありませんからね。

どちらの機器も国内外の大手電子機器メーカーが製造販売を行っています。

念には念を入れるため、こちらのサイトで提案しているUTMとクラウドはどのような機器を使っているのかを調べることにしました。

UTMとクラウド用サーバーの種類

サーバーにも幾つか種類があり、データセンターなどで使われる大型のラックに収納されるブレードサーバーからパソコンタイプの小型サーバーなどがあります。

大規模なデータを管理する場合や、数万人の利用者を想定する場合は大型を利用し、人数や用途が限定される場合は小型の物を利用するのが一般的です。

我が社の場合、社員数が50人程度で用途もマイナンバーへの管理に限定していますので、社内へ設置を予定しているサーバーはパソコンタイプの小型サーバーを設置しています。

小さいから不安だと思う人も居るでしょうが、クラウドとしての基本システムは含まれているので問題ありません。

そのクラウドを守るUTMにもネットワーク規模や細かい機能の違いにより種類があります。

社内という限定されたネットワークでクラウドを運用するので、サーバーと同様に小型のUTMを導入しています。

人数も50人前後で小規模、限定されたネットワークという条件でUTMとサーバーはどちらも小型の物を導入しましたが、皆さんが導入される場合は、企業の規模や運用目的をしっかりと確認して最適な機器を導入して下さい。

また、こちらのサイトで提案している社内クラウド用のサーバーとUTMは海外製ではなく、全て日本製だという事もポイントとして上げておきます。

確かに海外製は日本製に比べてコストの面でメリットがあり、機能的にも大きな違いはありません。

ですが、問題が発生した場合のサポートや使われている機器の信頼性を考えるのであれば、日本製を選ぶ事をお勧めします。

UTMと社内クラウド機能と管理方法を理解する

これまでの調査で、導入を予定しているUTMと社内クラウド用のサーバーには問題がないと判明しました。次に取り掛かったのは、UTMと社内クラウドの機能についての確認です。

ファイルやフォルダに鍵を掛ける

マイナンバーのデータを格納しているフォルダやその配下にあるファイルに対して鍵を掛けて第三者が閲覧できないようにします。

これはUTMやクラウドのアクセス制限機能を使い設定することが出来ます。

パソコンのアカウント毎に設定が出来ますので、各担当者の作業範囲を確認して適切に設定をして下さい。

基本的な事ですが、パスワードは誕生日・電話番号など安易に連想される物は避け、定期的に変更することも大事です。

アクセス状況を監視する

マイナンバーは多くの行政手続で利用されます。

つまり人事や事務の担当者は多くの作業でマイナンバーが保管されているクラウドにアクセスをし、作業をすることになるのです。

各担当者が正しくマイナンバーを利用しているか、アクセスの状況を監視する事はとても重要な作業となります。

アクセスの状況は全てログとして保管され、担当者の名前やアクセス時間、、どのファイルを更新・削除したのか等全て記録されています。

不審なファイルの更新や閲覧等を発見した場合は、直ぐに担当者を呼び、作業状況を確認しましょう。

地味で面倒な作業かと思いますが、マイナンバーを安全に管理する上では欠かせない作業になります。

私も、このUTMと社内クラウドのシステムを運用を開始して直ぐに体験することになりました。

この体験はいずれお話する事にしましょう。

不正アクセスからマイナンバーを守る

ネットワークに接続している以上、外部からの脅威は常に警戒しておかねばなりません。

ハッカーによる侵入は勿論、ウィルスやトロイの木馬などによる攻撃もあります。

UTMはそれら外部からの不正アクセスを何重にも重なったセキュリティーで防いでくれるのです。

ただし、完璧な様に見えても、知られていな脆弱性が隠れている場合もあります。

その為、UTMのシステムが常に最新の状態になるよう、セキュリティーソフトの更新がある場合は、速やかに実行してください。

データのバックアップを行い人為的ミスに対応する

アクセスの監視や不正アクセスへの対応も重要ですが、マイナンバーが記載されたファイルが壊れたり、保管しているサーバーが壊れては仕方がありませんね。

クラウドを運用しているサーバーには、データをバックアップしたり復元する機能が予め備えられています。それがRAID(レイド)機能になります。

RAID機能はサーバー内部にあるデータを保管している機器、HDD(ハードディスク)が物理的に壊れても復元が行えるよう複数のHDDにデータを分散して保管しています。

その為、1つのHDが破損してもデータが無くなってしまう事はありません。

バックアップ機能も充実しており、我が社ではデータ全体のフルバックアップに加えて、追加したデータを曜日毎に、1週間分バックアップする方法を取っています。

この方法であれば、月曜日に誤ってデータを削除して水曜日にそれが発覚したとしても、バックアップを使うことにより消えてしまったデータを復元することが出来ます。

誤ってファイルを上書きしたり変更した場合も、同じように元の状態に戻すことが出来るるのです。

ただし、長期的バックするためには膨大な容量を持つHDDが必要となりますので、バックアップする日数を予め決めておかなければなりません。

使わないデータは暗号化し圧縮して保管しておく

オフィスも机も綺麗に整理されいる方が使いやすいですよね。

データも全く同じで、複数のフォルダやファイルが乱雑に保管されていては使いにくく、ミスも起こりやすいです。

そのため、クラウドに保管しているマイナンバーや社員の情報は、必要がない場合、暗号化し圧縮してデータを整理して下さい。

暗号化をしておけば、情報が漏洩しても解読されることはありません。

このように、5つの安全管理措置によってマイナンバーを安全に保管・監視・管理することが出来ます。

私はこれまでに学んだことを踏まえて、UTMと社内クラウドでのマイナンバー管理に最終決定を下しました。

マイナンバーは本当に消えたのか?

何度もご紹介していますが、私はマイナンバー入門センターのサイトから申し込みを行いシステムの導入を行いました。

発注から導入までとてもスームズに行え、担当者とのやり取りも迅速で丁寧なものでした。

私は、導入までの数日間、全社員に対してどのようにマイナンバーを管理するか説明をし理解を求めました。

直接マイナンバーを取り扱う担当者には、社内ルールの徹底と、いざという時の対応策を徹底させています。

システムの導入から数週間経ちました。

今のところ問題なく運用され、マイナンバーは安全に保管されています。

順調に運用され軌道に乗ったその時、ある問題が発生したのです。

それは、私が日課となったクラウドのアクセスログ監視をしていた時です。 私宛に一本の電話が掛かって来ました。

相手は、国民健康保険課の担当者で、内容は先日退社した女性社員の保険記録についての確認でした。

実は、システムを導入して直ぐに寿退社した女性社員がおり、私は彼女のデータを速やかに削除するよう事務と人事の担当者へ指示を出していました。

年金や社会保険の手続きも終わらせてたので、その旨を電話先の相手へと伝えました。

確認という事だったので、これで話はお話だと思っていましたが、「データを削除した証拠はありますか?」と言ってきたのです。

私は、データを削除したことをもう一度伝え、確認したければ実際に見て欲しいとも伝えましたが証拠が無い以上は確認できないの一点張り。

困り果てた私は、顔を上げパソコンの画面を見つめました。

そこには、先程まで作業をしていたクラウドのアクセスログが映しだされています。

私はふと、アクセスログにはデータを更新・削除した記録も残されている事を思い出し、日付を元に、データを削除したログを見つけました。

それには、データを削除した担当者の情報と、削除されたデータの詳細が残っていたのです。

ログの事を伝えると、国民健康保険課の担当者へと伝えるとそのデータを送って欲しいとの事。

私はログのデータをまとめ、メールを送り確認を取ってもらう事に。 結果は、問題無く確認は終了しましたと伝えられました。

これは、後から知ったことなのですが、退社などにより社員のマイナンバーや関連データを削除した場合は、削除したログが証拠として使われる場合があるそうです。

責任者である私の落ち度であり、本来ならば知らなければいけないことだったのですが、システムがログを保管していたおかげで助かりました。

システムを導入してすぐに、UTMと社内クラウドの有用性を身をもって体験することになりました。

UTMと社内クラウドを導入検討する会社様へ

私が、現在のマイナンバー管理のシステムを導入した経緯はいかがだったでしょうか。 皆さんがお勤めの企業に当てはまる場合と、そうでない場合があると思います。

しかし、どのような場合においても必須というべき事柄というものは存在するのです。これまでに私が経験したことを参考にし、特に皆さんへお伝えしたいことがあります。

マイナンバーとう制度を正しく理解する

まずは、マイナンバーという制度が何に使われどのような物かを正しく理解して下さい。

正しく理解をしていないと、詐欺や不正流出の引き金になってしまいます。

このことは、企業担当者だけではなく、マイナンバーを持つ全ての国民に共通して言えることです。

企業の社員数や事業規模に見合ったシステムを導入する

私もそうであったように、マイナンバーの責任者は管理システムを良く理解し、 社の状況に合わせて適切なシステムを導入して下さい。

聞いた所によると、企業の社員数や事業規模を無視して高額な管理システムを導入させようとする悪質な業者が存在すると聞きました。

大きな責任がのしかかる事になりますが、焦らずじっくりと時間を掛けて検討して下さい。

窓口

電話番号

電話番号