Ⅰ. マイナンバー制度概要マイナンバー法の厳しい罰則規定 ( 民間企業個人に係わるもの ) 行為懲役罰金 1 正当な理由がなくマイナンバーファイルを提供 4 年以下 200 万円以下 2 不正な利益を得る目的でマイナンバーを提供盗用 3 年以下 150 万円以下 3 不正アクセス等によ

Size: px

Start display at page:

Download "Ⅰ. マイナンバー制度概要マイナンバー法の厳しい罰則規定 ( 民間企業個人に係わるもの ) 行為懲役罰金 1 正当な理由がなくマイナンバーファイルを提供 4 年以下 200 万円以下 2 不正な利益を得る目的でマイナンバーを提供盗用 3 年以下 150 万円以下 3 不正アクセス等によ"

れんかむこやま
5 years ago
Views:

1 第三者証明書トッパングループのマイナンバー管理業務の活用について 2017 年 7 月 7 日凸版印刷株式会社法務知的財産本部コンプライアンス部灘

2 Ⅰ. マイナンバー制度概要マイナンバー法の厳しい罰則規定 ( 民間企業個人に係わるもの ) 行為懲役罰金 1 正当な理由がなくマイナンバーファイルを提供 4 年以下 200 万円以下 2 不正な利益を得る目的でマイナンバーを提供盗用 3 年以下 150 万円以下 3 不正アクセス等によるマイナンバーの取得 3 年以下 150 万円以下 4 委員会の命令違反 2 年以下 50 万円以下 5 委員会への虚偽報告立入検査拒否等 1 年以下 50 万円以下 6 不正な手段によるマイナンバーカード等の取得 6 月以下 50 万円以下罰則は不正な行為をした者や会社に対して適用されるしかし不適切な取扱いがあれば個人情報保護委員会の立入検査がありうる - 1 -

3 Ⅰ. マイナンバー制度概要民間企業で構じなければならない安全管理措置そして安全管理措置の未実施は法令違反となりうる 1. 組織的安全管理措置 ( 義務 ) 2. 人的安全管理措置 ( 義務 ) a 組織体制の整備 b 取扱規程等に基づく運用 c 取扱状況を確認する手段の整備 d 情報漏えい等事案に対応する体制の整備 e 取扱状況の把握及び安全管理措置の見直し a 事務取扱担当者の監督 b 事務取扱担当者の教育システムやインフラ ( ネットワークサーバなど ) に関係が深い部分 3. 物理的安全管理措置 ( 義務 ) 4. 技術的安全管理措置 ( 義務 ) a 特定個人情報等を取り扱う区域の管理 b 機器及び電子媒体等の盗難等の防止 c 電子媒体等を持ち出す場合の漏えい等の防止 d 個人番号の削除機器及び電子媒体等の廃棄 a アクセス制御 b アクセス者の識別と認証 c 外部からの不正アクセス等の防止 d 情報漏えい等の防止 - 2 -

4 Ⅰ. マイナンバー制度概要物理的安全管理措置事業者は特定個人情報等の適正な取扱いのために次に掲げる物理的安全管理措置を講じなければならない項目内容具体例特定個人情報等の情報漏えい等を防止するために管理区域及び取扱区域を明確にし物理的な安全管理措置を講ずる a. 特定個人情報等を取り扱う区域の管理 b. 機器及び電子媒体等の盗難等の防止 c. 電子媒体等を持ち出す場合の漏えい等の防止管理区域及び取扱区域における特定個人情報等を取り扱う機器電子媒体及び書類等の盗難または紛失等を防止するために物理的な安全管理措置を講ずる特定個人情報等が記録された電子媒体または書類等を持ち出す場合容易に個人番号が判明しない措置の実施追跡可能な移送手段の利用等安全な方策を講ずる d. 個人番号の削除復元できない手段で削除または廃棄する機器及び電子媒体等の廃棄削除または廃棄した記録を保存する委託する場合には委託先が確実に削除または廃棄したことを証明書等により確認管理規程へ管理区域および取扱区域を定義するなど入退室管理方法としては ICカードナンバーキー等による入退室管理システムの設置電子媒体の持ち込み制限端末へのワイヤーロック設置などセキュリティ便や簡易書留の利用電子媒体の場合は暗号化や指紋認証付 USB の利用など専用のデータ削除ソフトウェアの利用又は物理的な破壊容易に復元できない手段を採用するなど

5 Ⅰ. マイナンバー制度概要技術的安全管理措置事業者は特定個人情報等の適正な取扱いのために次に掲げる技術的安全管理措置を講じなければならない項目内容具体例 a. アクセス制御情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う個人毎にログイン ID を付与する利用端末を制限するなど b. アクセス者の識別と認証 c. 外部からの不正アクセス等の防止特定個人情報等を取り扱う情報システムは事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入し適切に運用する d. 情報漏えい等の防止特定個人情報等をインターネット等により外部に送信する場合通信経路における情報漏えい等を防止するための措置を講ずる管理システムによる認証などセキュリティソフトの導入定期的なセキュリティ監査の実施などファイアーウォールの設置ネットワーク接続の制限など

6 Ⅱ. トッパングループのマイナンバー取扱方針漏えいしたときの企業イメージのへのダメージが大きいことから役員からの方針として従業員の分であってもトッパングループから 1 点たりとも漏えいすることがないように講じなければならない安全管理措置を各社で確実に実施しなければならない解決策 1 そのためにはしかし各社でそれぞれ物理的技術的な対応を図ると新たな費用や人的工数が発生しまたリスクも残る可能性があるそこで THIS で一元的に運用管理 THIS はトッパングループの給与計算受託会社であり個人情報取扱いの実績がある一元的に管理することで各社でのマイナンバーの保管管理のリスクを極小化できる独立したマイナンバー管理システム導入や安全管理措置を講じることで適切な保管管理が行なえる各社で物理的技術的な安全管理措置を行なうより 1 箇所で集中的に費用をかけるためグループとしてのトータルコストを低減できる - 5 -

マイナンバーを書類で収集する場合のイメージ本人部署総務 THIS 不着紛失紛失紛失不着 = 漏えいになってしまう紛失

7 Ⅱ. トッパングループのマイナンバー取扱方針 THIS で一元管理するとしても書類を前提にすると関係者が多数存在しその全ての工程で徹底した漏えいリスク対策は難題であり廃棄記録や授受記録の管理の負荷もかかるマイナンバーを書類で収集する場合のイメージ本人部署総務 THIS 不着紛失紛失紛失不着 = 漏えいになってしまう紛失極秘紛失一時置きでも安全な配送極秘保管方法の選択極秘安全な送付方法の安全な配送選択方法の選択社内便 ( 貴重品 ) 簡易書留レターパックマイナンバーガード便 - 6 -

8 Ⅱ. トッパングループのマイナンバー取扱方針マイナンバーに触れなければいけない人だけに限定しなければならないつまり全国各地に多数存在する総務経理などの関係事務実施者と THIS とが直接やり取りができる方法が必要しかし現状の社内ネットワークをそのまま使うと部外者のアクセスによる漏えいの可能性そこで解決策 2 マイナンハー用のセキュアな環境を構築 THISからの漏えいリスクを徹底的に排除した環境やり取りは電子データのみで書類での授受はゼロにする関係事務実施者はマイナンバー取り扱い業務しかできない環境関係事務実施者の作業コントロールは THISが担う - 7 -

9 Ⅱ.トッパングループのマイナンバー取扱方針 THISからの漏えいリスクを徹底的に排除した環境の構築 THIS事務所内に新たにマイナンバー取扱い専用室を設けたＴＨＩＳ事務所 ④THIS事務所監視カメラ ④ マイナンバールーム ③ ① ② ⑤ ②管理区域の入退管理外側 ICカード認証パスワード入力アンチパスパック ③管理区域監視カメラ内側 ⑤THIS事務所入室管理

Ⅱ. トッパングループのマイナンバー取扱方針 THIS からの漏えいリスクを徹底的に排除した環境の構築マイナンバールーム内の情報機器からの漏えい対策マイナンバールーム LanScope によるデバイス制御アクセスログ監視専用 FW の設置インターネット接続禁止

10 Ⅱ. トッパングループのマイナンバー取扱方針 THIS からの漏えいリスクを徹底的に排除した環境の構築マイナンバールーム内の情報機器からの漏えい対策マイナンバールーム LanScope によるデバイス制御アクセスログ監視専用 FW の設置インターネット接続禁止マイナンバールームへ入室できる者は専任者と管理者のみ ( 現時点 4 人 ) USB 機器書き出し対策アクセスログの記録 MN 処理専用 AD アカウントメール送信禁止 ( 受信のみ ) HDD の暗号化カメラ付携帯の持ち込み禁止ワイヤーロックによる固定専用 PC のみで操作が可能

Ⅱ. トッパングループのマイナンバー取扱方針関係者とのマイナンバーのやり取りは電子データのみマイナンバー用のセキュアな環境を構築した本人税務署本人がマイナンバーを登録 FastNumber やマイナンバー管理システムに直接アクセスできるのはマイナンバー専任者でマイナンバー専用室からのみ FastNumber THISから通知された

11 Ⅱ. トッパングループのマイナンバー取扱方針関係者とのマイナンバーのやり取りは電子データのみマイナンバー用のセキュアな環境を構築した本人税務署本人がマイナンバーを登録 FastNumber やマイナンバー管理システムに直接アクセスできるのはマイナンバー専任者でマイナンバー専用室からのみ FastNumber THISから通知された ID パスワードでログイン登録する機能しかないダウンロードするとデータは自動消去されるマイナンバー専用室 THIS 関係事務実施者用ファイルサーバマイナンバー専任者総務経理 ( 関係事務実施者 ) THIS とマイナンバーのやり取りが出来るのは登録された関係事務実施者のアクセス権が設定されたフォルダのみマイナンバー管理システム

Ⅲ. 第三者証明サービスを活用した理由委託元は委託先の監督をしなければならない番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならないしかし THIS にマイナンバー取扱を委託しているグループ会社は 55 社監査する側と受ける側の問題をどう解決するか?

12 Ⅲ. 第三者証明サービスを活用した理由委託元は委託先の監督をしなければならない番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならないしかし THIS にマイナンバー取扱を委託しているグループ会社は 55 社監査する側と受ける側の問題をどう解決するか? そこで解決策 3 第三者証明の活用本社が代表幹事会社として THIS の監査を実施することはできるが委託元にはプライバシーマークを取得している会社もありそれぞれの委託先監査の手順を集約して行なうことは本社側の負荷もかかる委託元が監査と同等の措置をとったとの説明責任を果たすには第三者証明が説得力あるまた個人事業主など社外の人からのマイナンバーを収集する際に安心感を持ってもらうためにも役立つ

13 Ⅴ. 第三者証明サービスの感想と要望感想要望内容について委託元から別途監査を要請されることなく第三者証明で代行することはできた一方個人事業主への案内に第三者証明を取得している旨をアピールしたが認知がまだ十分なレベルに至っていないせいかそれをもって安心感を持ってもらえたということには至らなかった費用面について毎年同額の費用が発生するとなると THIS のような社内向けサービス子会社では費用面で継続利用が難しい日本印刷産業連合会のプライバシーマーク審査料だと 2 年で約 30 万円ですむ (THIS は小規模事業者にあたるため ) 日本印刷産業連合会からはプライバシーマークを取るように働きかけられていることもあり重複しての支出は厳しい第三者証明の利用シーンは多く想定されるので第三者証明サービスの認知度を上げるためにも利用しやすさへの配慮をお願いしたい

マイナンバー制度実務対応チェックリスト

マイナンバー制度実務対応チェックリストマイナンバー制度実務対応チェックリスト < 企画制作 > 弁護士法人三宅法律事務所 2015 年 1 月番号法特定個人情報ガイドラインが求める対応 1. 個人番号を受け取る必要のある事務の洗い出し個人番号の受け取りが必要な対象者と事務の洗い出しを行いましたか? 参照安全管理措置ガイドライン 1.A 役員従業員のほか報酬支払先株主などの個人番号の受け取りも必要です 2. 取り扱う特定個人情報等の洗い出し