2016年1月より施行されたマイナンバー法に対応するため、多くの企業で従業員とその扶養家族のマイナンバー収集業務が終了した。一方、現在マイナンバーの利用は雇用保険など入社・退職者などに限定され、健康保険、厚生年金保険など従業員やその扶養家族のマインバーを本格的に取り扱うのは2017年1月以降となっている。また、制度施行後も税制改正や関連手続きの変更などが度重なり、企業においては何をどこまで準備することが適切なのか見極めにくい状況である。
このような中、アビームコンサルティンは、2016年1月より施行されたマイナンバー法に対応する企業の取り組み状況を把握し、必要な対策を明らかにするため、「マイナンバー対応実態調査」を実施した。調査の結果、マイナンバーの収集はほとんどの企業で終了しているものの、安全管理措置については、制度施行を乗り切るための急場しのぎの対応にとどまり、安全管理が形骸化していくだけでなく、そこに情報漏えいや法令違反が発生するリスクが潜んでいることが判明した。
アビームコンサルティングでは、2017年以降に迎えるマイナンバーの本格的な運用に向け、持続可能な安全管理措置が行われているか、以下5点について改めて点検し必要な対策を取るべきであると考えているとしている。
(1)情報漏えい事故等、不正を未然に防ぐ抑止力が働いているか
マイナンバーなど特定個人情報の取扱いにおいては、セキュリティ事故が企業への信頼に与える影響は甚大だ。ログ等のチェック結果を、定期的に評価、改善し、その取組みを周知徹底し、セキュリティ事故の発生そのものを未然に防ぐ、抑止力が働く仕組みを構築する必要があるとしている。
(2)業務に必須となる運用ルールの策定ができているか
業務運用ルールを作業単位で定めることは特定個人情報の漏えい、紛失等を防ぐために最も有効な方法です。運用ルール策定のみならず、マイナンバーを適正に取扱う方法、業務手順などを具体的に定めることができているか、点検と改善にも注力する必要がある。
(3)取扱担当者に定期的な教育が実施されているか
人事異動・退職などによりマイナンバーを取扱う担当者の入替が随時発生することが想定されます。持続可能な安全管理を実現するためには教育研修の実施ルールを整備し、かつ定期的な実施ができる体制を構築することが重要である」。
(4)地方拠点のマイナンバー取扱状況が管理できているか
本社主管部門が教育・指導は行っているが、実際にどのような措置を講じたのかを確認していない場合が散見されるという。本社主管部門が、地方拠点の運用状況を定期的にチェックし、マイナンバー取扱状況を継続的に把握することは、地方拠点のマイナンバー取扱区域からの情報流出リスク防止につながる。
(5)グループ会社の安全管理措置に不備はないか
地方拠点へのアプローチと同様に、グループ会社に対しては、組織的、人的、物理的、技術的安全管理措置の全てに渡り、本社が継続的に管理・監督や運用状況の点検を実施することが不可欠。本社とグループ会社が同じ仕組みで安全管理措置を行うように統制することで、グループ全体のセキュリティレベルを向上させることが可能だとしている。(編集担当:慶尾六郎)
