【連載】

中小企業にとってのマイナンバー制度とは?

14 マイナンバーの保管・廃棄 システムで異なる安全管理措置

14/74

前回は、マイナンバーの利用・提出シーンで、セキュアに対応するためにほしい機能を中心にみてきました。今回は、保管・廃棄シーンで、オンプレミスのシステムとクラウドのシステムで講じなければならない安全管理措置がどのように違ってくるのかをみていきましょう。

マイナンバーがどこに保管されるかで変わる安全管理措置

マンナンバーを管理するシステムでは、いずれも専用のデータベースを用意しマイナンバーを暗号化して登録するなど、システム内での保管状態をセキュアに保つようにしています。この点では、手法の違いはあれオンプレミスのシステムでもクラウドのシステムでもさほど変わりはありません。

また、廃棄についてもマイナンバーを復元できないように削除する機能は、いずれのシステムでも備えており、この点でも、大きな違いはありません。

違いがでてくるのは、その専用のデータベースを備えたサーバーなどコンピュータ機器がどこに置かれるのかという点です。

オンプレミスではマイナンバーを保管するコンピュータ機器を「守る」安全管理措置が必須

オンプレミスのシステムでは、マイナンバーが登録・管理されるサーバーなどコンピュータ機器は、企業の事業所内に置かれることになります。となると、このサーバーを「守る」ための安全管理措置が必要となります。

特定個人情報保護委員会の事業者向けガイドラインの例示では、マイナンバーが登録されたコンピュータ機器が設置される場所を「管理区域」と呼び、物理的安全管理措置として通常の事務スペースとは別の部屋に設置し、入退室管理、つまりその部屋への出入りをICカード、ナンバーキーなどによる入退室管理システムで規制することを求めています。

中小企業でそこまでの措置が必要かというと、規模に応じた安全管理措置を講じることというのが、ガイドラインの基本的なスタンスですので、必ずしもそこまでの措置を求めているわけではないと考えられます。

例えばマイナンバーを登録したコンピュータ機器がノートパソコンなど、ロッカー等に収納できるようにものであれば、鍵のかかるロッカーなどを用意し、利用しないときはノートパソコンをロッカーに収納し施錠しておくこと、その鍵は責任者がきちんと管理すること、ロッカーなどへの収納が無理な場合は、セキュリティワイアで固定し、盗難防止にも備えることなどの対策を行うことになります。

そして、マイナンバーが登録されたコンピュータ機器を設置した場所に立ち入ることができるのはマイナンバーの取扱担当者、責任者に限定して、だれがいつその機器を取り扱ったのかなどの記録が残るようにしておくことで、物理的安全管理措置とすることはできると考えられます。

クラウドでは「管理区域」に対する安全管理措置を講じる必要はない?

オンプレミスのシステムでは、事業所内に設置されたコンピュータ機器にマイナンバーを保管するために、これを「守る」ための安全管理措置が必要になります。これに対し、クラウドのシステムでは事業所内のコンピュータ機器にマイナンバーを保管するのではなく、クラウド上のサーバーにマイナンバーを保管するために、ガイドラインで「守る」対象となる「管理区域」がそもそも存在しないことになります。つまり、クラウドのシステムでは事業所内にマイナンバーを「持たない」ため、物理的安全管理措置での負担は大幅に軽減されます。

それでも注意は必要です。クラウドのシステムでも事業所内のパソコンにマイナンバーを呼び出し、マイナンバーをパソコン内にも登録できる機能があれば、そのパソコンを「守る」ための安全管理措置を講じなければなりません。マイナンバーを漏えいなどから守る観点からみると、このような機能は、クラウド上のサーバーにマイナンバーを保管することで「持たない」対応の落とし穴ともなりますので、クラウドのシステムに対する要チェックのポイントとなります。

オンプレミス、クラウドいずれも対応すべき物理的安全管理措置

オンプレミスのシステムとクラウドのシステムで、物理的安全管理措置で差が出る部分については以上ですが、どちらのシステムでも講じなければいけない物理的安全管理措置があります。

マイナンバーの利用や提出のシーンでは、マイナンバーをパソコンの画面に表示したり、マイナンバーを印刷した書類を出力したりといった作業を行うことが想定されます。ガイドラインでは、こうした作業を行う区域を「取扱区域」とよび、通常の事務スペースとパーテーションで間仕切ることなどで、マイナンバーの取扱担当者および責任者以外は立ち入ることができないようにするなどの措置を求めています。小規模な企業で間仕切りすることが困難なケースでは、パソコンの画面を覗き見されないような配置にする、印刷する際も誰でもが出力した書類を手にすることができないようにプリンタを配置するなどの安全管理措置は必要です。

そして、マイナンバーを印刷した書類は鍵のかかる書棚などに施錠保管し、鍵は責任者が管理するなどの安全管理措置も必要となります。

クラウドのシステム活用で徹底的にリスクを軽減することを考える

このシリーズではマイナンバーの取り扱いについて、ITを効果的に活用することで、漏えいなどのリスクを軽減することを考えてきました。そのために、現状でマイナンバー対策として登場しているシステムについて、オンプレミスとクラウドのシステムを比較検討してきました。

オンプレミスのシステムでは、今回みたように事業所内でマイナンバーを保管するために、マイナンバーを保管するコンピュータ機器を「守る」ための物理的安全管理措置にコストや手間がかかってしまいます。また、マイナンバーの収集時もクラウドのシステムに比べると手間がかかると同時に漏えいリスクも高くなります。

まもなく施行されるマイナンバー制度が今後大きく変わらないかぎり、すべての企業でマイナンバーの管理・取り扱いは、これから先続けていかなければなりません。年末調整などの業務に使用しているソフトウェアをマイナンバー対応でバージョンアップするだけで本当に良いのか、この機会にクラウドのシステムも検討してみることをお勧めいたします。

著者略歴

・中尾 健一(なかおけんいち)
アカウンティング・サース・ジャパン株式会社 取締役
1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。

14/74

インデックス

連載目次
第74回 「税務行政の将来像(国税庁)」から見えてくる電子政府の未来
第73回 社会保障分野の電子化とマイナンバー
第72回 マイナンバー制度のもう一つのナンバー 法人番号活用の現在
第71回 特別徴収税額通知 誤送付などでマイナンバー漏洩
第70回 進む税務の電子化 年末調整 プロセスも電子化へ
第69回 マイナポータルおよびマイナンバー制度情報連携 試行運用開始
第68回 法人税等の電子申告義務化に向けた基本計画
第67回 2017年 「世界最先端IT国家創造宣言・官民データ活用推進基本計画」をみる(3)
第66回 2017年 「世界最先端IT国家創造宣言・官民データ活用推進基本計画」をみる(2)
第65回 2017年「世界最先端IT国家創造宣言・官民データ活用推進基本計画」をみる(1)
第64回 特別徴収税額通知書 “官”からマイナンバーがやってきた
第63回 デジタルファーストを目指す政府 法人税電子申告義務化へ
第62回 電子申告とマイナンバー制度
第61回 「特別徴収税額決定通知書」へマイナンバーが記載され通知されることの影響
第60回 マイナポータル・行政機関間での情報連携 本格運用は10月以降へ
第59回 1月~3月 マイナンバーの本格利用の時期を終えて
第58回 政府が進める「デジタルファースト」への流れとマイナンバー制度
第57回 マイナンバー本格利用 次は所得税確定申告
第56回 マイナポータル 2017年7月本格スタートのサービス概要
第55回 2017年におけるマイナンバー制度の動き
第54回 2017年におけるマイナンバー利用の動き
第53回 年末調整直前 今からでも間に合うマイナンバー対策 その4
第52回 年末調整直前 今からでも間に合うマイナンバー対策 その3
第51回 年末調整直前 今からでも間に合うマイナンバー対策 その2
第50回 年末調整直前、今からでも間に合うマイナンバー対策 その1
第49回 マイナンバーカード・マイナポータルの活用促進をめぐる総務省の動き その2
第48回 マイナンバーカード・マイナポータルの活用促進をめぐる総務省の動き その1
第47回 マイナンバー制度、今後のスケジュールを再整理する
第46回 なかなか進まない支払先からのマイナンバー収集
第45回 経済産業省版法人ポータル(β版)など法人番号をめぐる動き
第44回 行政側のマイナンバー制度へのシステム対応 現状の動きを確認する
第43回 中小企業・小規模事業者からマイナンバー取り扱いの委託を受ける税理士の現状
第42回 マイナンバー対応 準備を順調に進めている企業と進まない企業
第41回 世界最先端IT国家創造宣言とマイナンバー制度
第40回 マイナンバーが記録されているパソコンは修理できない?
第39回 平成28年度税制改正でマイナンバーの取り扱いはどう変わったのか?
第38回 動き出した企業版マイナンバー(法人番号)の利用が与える影響
第37回 マイナンバーカードは民間活用でどのようなメリットがもたらされるのか
第36回 多くの企業がメリットを感じない、マイナンバー制度の課題を考える
第35回 新入社員を迎える季節 継続的にマイナンバーを管理・運用できる体制作りを
第34回 中小企業のマイナンバー対応 システム選択? 外部委託? 現状の傾向を探る(2)
第33回 中小企業のマイナンバー対応 システム選択? 外部委託? 現状の傾向を探る(1)
第32回 あいつぐマイナンバー制度のトラブル 中小企業への影響を考える
第31回 個人事業主のマイナンバー利用 今後のスケジュールを整理する
第30回 マイナンバー利用開始1カ月 マイナンバー利用の課題を考える
第29回 マイナンバーの取り扱い 中小企業から委託を受ける税理士などの最新動向
第28回 マイナンバーとマイナンバーカードの役割を考える
第27回 マイナンバー利用開始 すぐマイナンバーの記載が必要な書類・時期を再整理
第26回 平成27年分年末調整業務進行中 来年を見据えて準備しておきたいこと
第25回 マイナンバーの収集、今年中に収集するか? 来年に入って収集するか?
第24回 マイナンバーの通知と中小企業の取り組み 最新状況
第23回 中小企業向けマイナンバー商戦 現状整理
第22回 マイナンバー制度への対応を中小企業の本格IT化のきっかけに
第21回 法人番号の通知・公表スタート 中小企業に与える影響を考える
第20回 マイナンバー通知本格化 いよいよ本番 中小企業のマイナンバー対策
第19回 中小企業のマイナンバー対策 システム選びが成否をにぎる? (その2)
第18回 中小企業のマイナンバー対策 システム選びが成否をにぎる? (その1)
第17回 マイナンバー利用開始 間近に迫る 今中小企業は何をすべきか?
第16回 マイナンバー通知カードの送付始まる 待ったなしで始まるマイナンバー制度
第15回 税理士などにマイナンバーの取り扱いを委託する場合のシステム連携の課題
第14回 マイナンバーの保管・廃棄 システムで異なる安全管理措置
第13回 マイナンバーの利用・提出 よりセキュアに対応するためにほしい機能
第12回 マイナンバーの収集 システムで異なる業務運用
第11回 IT活用で対応するマイナンバー対策 システム比較
第10回 マイナンバー対策を契機にIT活用を見直す
第9回 法人番号とマイナンバー制度の将来像
第8回 マイナンバーの取り扱いを税理士事務所などに委託する場合
第7回 マイナンバーの保管、利用シーンで求められる安全管理
第6回 マイナンバーの収集で注意すべきこと
第5回 マイナンバー制度 中小企業に与える影響
第4回 中小企業が「個人番号関係事務実施者」として行う実務内容と必要な準備
第3回 すべての中小企業が「個人番号関係事務実施者」へ
第2回 マイナンバー制度の概要と今後のスケジュール
第1回 マイナンバー制度で業務のここが変わる!

もっと見る



人気記事

一覧

イチオシ記事

新着記事