HOME 専門家の知恵 マイナンバー制度 【専門家の知恵】日本年金機構の情報流出を教訓にマイナンバー制度に備えよう!

【専門家の知恵】日本年金機構の情報流出を教訓にマイナンバー制度に備えよう!

日本年金機構の情報流出を教訓にマイナンバー制度に備えよう!

<SRC・総合労務センター 佐藤 正欣/PSR会員>

 

◆日本年金機構の情報流出事件

 日本年金機構のネットワークに対してウィルスメールによる不正アクセスが行われ、年金加入者及び年金受給者の個人情報が流出したことが報道発表された。

 これを受け、2018年から預金口座や乳幼児に係る予防接種記録にもマイナンバーの利用範囲を拡大すべく検討されていたマイナンバー法改正案の採決は先送りされることが決定している。加えて、年金分野へのマイナンバー利用については、具体的な時期は明言していないものの、当初予定されていた導入時期よりも遅らせることが社会保障・税一体改革担当相より発表されている。

 社会保障と税の共通番号とされるマイナンバー制度導入を間近に控えたこの時期に、日本年金機構の情報流出問題は世間に相当なインパクトを与えている。改めてネットワーク社会の脆弱性が問われる格好となったからだ。

 医療・年金をはじめとする社会保障制度、税制、災害対策の3分野において限定的に使用されるとはいえ、マイナンバーの管理方法や情報流出へのリスクについて、国はどの程度の検討と対策をとっているのか?不安に感じてしまうのは筆者だけではないはずである。

 また、マイナンバー制度がはじまると、情報流出をさせない管理方法や仕組みづくりは会社にも求められる。会社が社員のマイナンバーを管理しなければならないからだ。仮に情報を流出させてしまった場合の会社に対する責任は非常に重い。

 そこで今回は、具体的対応策のノウハウについては、様々なところで情報発信されているため、そちらに譲ることとし、本稿では日本年金機構の情報流出事件を教訓に、企業が見失いやすいマイナンバー対策の視点に絞って考えてみたい。

 

◆企業がとるべき特定個人情報に係る安全管理措置

 特定個人情報保護委員会は、企業がとるべき特定個人情報に係る安全管理措置の内容として、次の6つの観点から社内の体制整備を要請している。

 (1)基本方針の策定
 特定個人情報等の適正な取扱いの確保について組織として取り組むための基本方針の策定

 (2)取扱規程等の策定
  特定個人情報等の具体的な取扱いを定める取扱規程等の策定

 (3)組織的安全管理措置
  組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し

 (4)人的安全管理措置
  事務取扱担当者の監督及び教育

 (5)物理的安全管理措置
  特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏えい等の防止、マイナンバーの削除、機器及び電子媒体等の廃棄

 (6)技術的安全管理措置
  アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止

 

◆最終的に情報を扱うのは「人間」

 陥りやすい過ちは、いわゆる形さえ整えて安心してしまうことだ。つまり、目にみえる外形上の整備に終始してしまうことである。例えば、上記表の(1)(2)(3)(5)(6)がそれに当たる。

 確かに時間や費用をかけて実施するのであるから、これらが一通り揃うと対策が万全になったと考えてしまいやすい。しかし、どんなに素晴らしい諸規程やシステム、技術を導入したとしても、これをオペレーションする側(上記表では(4))に問題があれば何の意味も持たない。至極当たり前のことだと思われたかもしれないが、この対策こそが実に難しい。会社と社員双方の不断の心がけが大切だからだ。

 先の日本年金機構における情報流出問題も、諸規程をはじめ組織体制や物理的・技術的なハード面の整備はなされていたと推察される。しかし、ソフトの面で本来パスワードを付して扱うべき機密文書にパスワードが付されておらず、情報流出発覚後も対応が後手に回ったことが被害を拡大させた。

 過去の個人情報漏えい問題をみても、記録媒体を勝手に外部に持ち出していたり、USBメモリに保存しその後に紛失してしまったり、誤送付により関係のない第三者に個人情報を漏えいしてしまったりと、扱う者の過失による場合がほとんどである。

 ネットワーク社会と呼ばれて久しい昨今、業務とネットワークは切っても切り離せない関係にある。マイナンバーのような新しい未知の制度と対峙していると、真新しさに目を奪われて技術的な視点ばかりに目が向く傾向にあるが、そうではない。

 どのような制度や技術が台頭しても、共通して言えることは、これらを扱うのは最終的に人間であるという点だ。まずは扱う側に正しい見識を身につけることが基本原則である。

 この大事な視点が抜け落ちてしまわぬよう、マイナンバーの事務処理に係る作業手順や作業管理組織について十分な検討と教育を徹底していく必要があると言える。

 

 

プロフィール

psr sato
特定社会保険労務士 佐藤 正欣
株式会社エンブレス 代表取締役  SRC・総合労務センター 副所長(http://www.e-src.com
輝く未来のオンリーワン企業を支援するため「大企業のマネをしない中小企業独自の労務管理」を理念とする。社会保険・労働保険の諸手続きをはじめ、給与計算等の事務手続き面におけるアウトソース業務と並行し、経営・労務相談、就業規則策定等のコンサル業務も多数手掛けている。また不定期に実施するセミナーや社員研修に定評がある。

「社労士の知恵」の記事