マイナンバーの運用で気をつけなければならないのが管理方法。マイナンバーは今後様々な方面への活用が考えられているため、安全面だけでなく効率面も考慮した管理方法を確立する必要もあります。ここではITを活用した安全かつ効率的なマイナンバーの管理について考えます。

マイナンバー管理で考えるべき「安全管理措置」

4つの「安全管理措置」

個人情報保護委員会が公表している「（別添）特定個人情報に関する安全管理措置※」によれば、企業が求められているマイナンバーに関する安全管理措置は以下の4つで構成されています。

※ PDF「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」47ページ

組織的安全管理措置とはマイナンバー関連の事務取扱担当者やその役割を明確化したり、情報漏えいや社内で決めたマイナンバーの取扱ルール（取扱規程）への違反を把握したりした場合の報告連絡体制の整備などを指します。

人的安全管理措置は事務取扱担当者の監督や教育などを指し、物理的安全管理措置はマイナンバーを管理するために特別の管理区域を設けたり、マイナンバーを取り扱う書類を鍵付きのキャビネット等に保管したりするなどの措置のことです。技術的安全管理措置とは主にデータによるマイナンバー管理についての措置で、マイナンバーのデータへのアクセス制御やアクセス者識別、外部からの不正アクセス対策などが例示されています。

マイナンバーの盗難・漏えい等の危険性

企業がマイナンバーの盗難や漏えいを起こすと行為者には最大で「4年以下の懲役若しくは200万円以下の罰金又は併科」が課せられ、企業に対しても罰金刑が科せられる場合があります。企業イメージに対しても大きな悪影響が想定できますし、盗難・漏えいの被害者等からの損害賠償請求も十分考えられます。

また原因究明・再発防止策の立案など対応コストも無視できません。「自分のところは大丈夫だろう」と安易に考えるには、あまりにもリスクが高すぎるのです。そこで問題となるのが「どのようにマイナンバーを管理するべきか」。以下では最大の心配事項である「安全面」だけでなく、マイナンバー管理の「効率面」も強化できる方法を紹介します。

データ管理でマイナンバー業務をスマート化しよう！

データ管理のメリット

データで管理する場合の最大のメリットは「事務負担の軽減」です。例えばマイナンバーは運用状況の記録が必要ですが、データで管理している場合はシステムログの利用が認められているので、その都度人の手で記録する手間が省けます。所管法令の保存期間を過ぎたマイナンバーは廃棄しなければなりませんが、この場合も保存期間経過後の削除をシステムを使ってスケジューリングしていれば消し忘れの危険もありません。

データ管理は「怖い」？

しかしデータでの管理に不安を覚える企業も少なくないでしょう。その不安の中身は「そうは言っても、肝心のセキュリティ面は大丈夫なのか？」という疑問ではないでしょうか。確かに企業や公的機関の情報漏えいのニュースなどを見ると、「完璧なデータセキュリティなどない」と不安になるのも無理はありません。

しかしNPO日本ネットワークセキュリティ協会の2012年の調査によると、2012年上半期に起きた情報漏えい事件954件のうち、漏えい原因トップ3は「管理ミス」「誤操作」「紛失・置き忘れ」で、全体のうちこの3つが約8割を占めているということがわかっています。データでの管理を導入する際に最も心配な「不正アクセス」は、同調査によると1.2％の11件しかありませんでした。

人的安全管理措置さえしっかりと行っていれば、データでのマイナンバー管理は安全かつ効率的な管理方法の1つと言えます。

各種データセキュリティサービスを利用する

データ管理がマイナンバーの管理において有効な方法だということがわかったところで、マイナンバーを含むデータセキュリティサービスについていくつか見ておきましょう。

「二要素認証」でセキュリティ強化

「ユーザーだけが知っている何か」「ユーザーだけが持っている何か」「ユーザー自身の特性（指紋・声紋など）」のうち、どれか2つを組み合わせて身元確認を行うシステム、これが「二要素認証」です。例えば銀行ATMで言えば「知っている情報」である暗証番号と「持っているモノ」であるキャッシュカードの二要素を使って初めてお金を下ろすことができます。「ユーザーだけが持っている何か」にPCなどの端末を設定すれば、会社外部からのログイン等を防ぐことも可能です。

ファイル暗号化サービスでセキュリティ強化

あらゆるファイルを暗号化し、さらに暗号化したままの状態でアプリケーションの利用ができるクラウドサービスもあります。暗号化されたファイルは利用者以外による解析が不可能になっているため、社員が間違って持ち出したり、メール添付したりしてしまった場合でもアクセスできません。あらかじめ人的安全管理措置をとる必要はありますが、外部への流出リスクを低減するには効果的な手法です。

セキュリティコンサルティングサービスで人的リスク削減

データセキュリティサービスは自社で行うよりも格段に低コストで技術的安全管理措置をカバーしてくれます。またクラウドサービスを利用すればマイナンバーを自社で管理する必要もないため、物理的安全管理措置の面でも役立ちます。

しかし組織的安全管理措置の一部や人的安全管理措置については、これらのサービスで補うことはできません。情報漏えい事件の原因のほとんどが人為的なミスであることを考えると、これは無視できない問題です。このような場合には各社が提供するセキュリティコンサルティングを利用するのも1つ。マイナンバーだけでなく他の機密を漏えいさせないためにも、必要に応じて検討してみましょう。

マイナンバー専用の管理サービスを利用する

ここまで紹介したのはマイナンバーを含む企業の情報を守るためのサービスでしたが、すでに「マイナンバー専用」の情報管理サービスも各社が提供しています。

この種のサービスはセキュリティ面以外の機能も充実している点が大きな魅力。本人確認がスマートフォンによる撮影でできるようになったり、利用履歴を自動で記録してシステム上に保管してくれたり、保管期限が過ぎたマイナンバー等の存在を知らせるアラート機能が付いているサービスもあります。

またマイナンバー専用の情報管理サービスを提供する事業者の多くは同時に給与システムも提供している場合が多いので、源泉徴収票や給与支払報告書などの作成時の事務コストのカットにも効果的です。料金は多くの場合月額制。「従業員、従業員以外の対象者、それぞれ10名まで登録可能（合計最大20名）」など、法人の規模によって料金設定が異なる場合もあります。

データセキュリティ対策は万全でも、マイナンバーの事務コストへの対応に悩んでいる企業にとっては検討に価するサービスと言えるでしょう。

【まとめ】組織に合った管理体制を構築しよう

紙ベースでの管理とデータでの管理のうち、「どちらが良いのか」は組織によって変わります。不特定多数の出入りの多い企業では、紙ベースでの管理よりもデータでの管理の方がセキュリティ面では安心感があるでしょう。従業員数が多くない企業の場合はデータでの管理にする方が運用コストが増す可能性もあります。自社にとって最善の選択肢はどのような管理体制なのか。ここで見たデータセキュリティサービスなども踏まえて検討していきましょう。