マイナンバーの保管・廃棄　システムで異なる安全管理措置

前回は、マイナンバーの利用・提出シーンで、セキュアに対応するためにほしい機能を中心にみてきました。今回は、保管・廃棄シーンで、オンプレミスのシステムとクラウドのシステムで講じなければならない安全管理措置がどのように違ってくるのかをみていきましょう。

マイナンバーがどこに保管されるかで変わる安全管理措置

マンナンバーを管理するシステムでは、いずれも専用のデータベースを用意しマイナンバーを暗号化して登録するなど、システム内での保管状態をセキュアに保つようにしています。この点では、手法の違いはあれオンプレミスのシステムでもクラウドのシステムでもさほど変わりはありません。

また、廃棄についてもマイナンバーを復元できないように削除する機能は、いずれのシステムでも備えており、この点でも、大きな違いはありません。

違いがでてくるのは、その専用のデータベースを備えたサーバーなどコンピュータ機器がどこに置かれるのかという点です。

オンプレミスではマイナンバーを保管するコンピュータ機器を「守る」安全管理措置が必須

オンプレミスのシステムでは、マイナンバーが登録・管理されるサーバーなどコンピュータ機器は、企業の事業所内に置かれることになります。となると、このサーバーを「守る」ための安全管理措置が必要となります。

特定個人情報保護委員会の事業者向けガイドラインの例示では、マイナンバーが登録されたコンピュータ機器が設置される場所を「管理区域」と呼び、物理的安全管理措置として通常の事務スペースとは別の部屋に設置し、入退室管理、つまりその部屋への出入りをICカード、ナンバーキーなどによる入退室管理システムで規制することを求めています。

中小企業でそこまでの措置が必要かというと、規模に応じた安全管理措置を講じることというのが、ガイドラインの基本的なスタンスですので、必ずしもそこまでの措置を求めているわけではないと考えられます。

例えばマイナンバーを登録したコンピュータ機器がノートパソコンなど、ロッカー等に収納できるようにものであれば、鍵のかかるロッカーなどを用意し、利用しないときはノートパソコンをロッカーに収納し施錠しておくこと、その鍵は責任者がきちんと管理すること、ロッカーなどへの収納が無理な場合は、セキュリティワイアで固定し、盗難防止にも備えることなどの対策を行うことになります。

そして、マイナンバーが登録されたコンピュータ機器を設置した場所に立ち入ることができるのはマイナンバーの取扱担当者、責任者に限定して、だれがいつその機器を取り扱ったのかなどの記録が残るようにしておくことで、物理的安全管理措置とすることはできると考えられます。

クラウドでは「管理区域」に対する安全管理措置を講じる必要はない?

オンプレミスのシステムでは、事業所内に設置されたコンピュータ機器にマイナンバーを保管するために、これを「守る」ための安全管理措置が必要になります。これに対し、クラウドのシステムでは事業所内のコンピュータ機器にマイナンバーを保管するのではなく、クラウド上のサーバーにマイナンバーを保管するために、ガイドラインで「守る」対象となる「管理区域」がそもそも存在しないことになります。つまり、クラウドのシステムでは事業所内にマイナンバーを「持たない」ため、物理的安全管理措置での負担は大幅に軽減されます。

それでも注意は必要です。クラウドのシステムでも事業所内のパソコンにマイナンバーを呼び出し、マイナンバーをパソコン内にも登録できる機能があれば、そのパソコンを「守る」ための安全管理措置を講じなければなりません。マイナンバーを漏えいなどから守る観点からみると、このような機能は、クラウド上のサーバーにマイナンバーを保管することで「持たない」対応の落とし穴ともなりますので、クラウドのシステムに対する要チェックのポイントとなります。

オンプレミス、クラウドいずれも対応すべき物理的安全管理措置

オンプレミスのシステムとクラウドのシステムで、物理的安全管理措置で差が出る部分については以上ですが、どちらのシステムでも講じなければいけない物理的安全管理措置があります。

マイナンバーの利用や提出のシーンでは、マイナンバーをパソコンの画面に表示したり、マイナンバーを印刷した書類を出力したりといった作業を行うことが想定されます。ガイドラインでは、こうした作業を行う区域を「取扱区域」とよび、通常の事務スペースとパーテーションで間仕切ることなどで、マイナンバーの取扱担当者および責任者以外は立ち入ることができないようにするなどの措置を求めています。小規模な企業で間仕切りすることが困難なケースでは、パソコンの画面を覗き見されないような配置にする、印刷する際も誰でもが出力した書類を手にすることができないようにプリンタを配置するなどの安全管理措置は必要です。

そして、マイナンバーを印刷した書類は鍵のかかる書棚などに施錠保管し、鍵は責任者が管理するなどの安全管理措置も必要となります。

クラウドのシステム活用で徹底的にリスクを軽減することを考える

このシリーズではマイナンバーの取り扱いについて、ITを効果的に活用することで、漏えいなどのリスクを軽減することを考えてきました。そのために、現状でマイナンバー対策として登場しているシステムについて、オンプレミスとクラウドのシステムを比較検討してきました。

オンプレミスのシステムでは、今回みたように事業所内でマイナンバーを保管するために、マイナンバーを保管するコンピュータ機器を「守る」ための物理的安全管理措置にコストや手間がかかってしまいます。また、マイナンバーの収集時もクラウドのシステムに比べると手間がかかると同時に漏えいリスクも高くなります。

まもなく施行されるマイナンバー制度が今後大きく変わらないかぎり、すべての企業でマイナンバーの管理・取り扱いは、これから先続けていかなければなりません。年末調整などの業務に使用しているソフトウェアをマイナンバー対応でバージョンアップするだけで本当に良いのか、この機会にクラウドのシステムも検討してみることをお勧めいたします。

著者略歴

・中尾　健一(なかおけんいち)
アカウンティング・サース・ジャパン株式会社　取締役
1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。