Paples導入による安全なマイナンバー記載帳票管理、
安全管理措置とは?
マイナンバー制度対応の長期運用計画について
2016年1月からいよいよ本格的な「マイナンバー制度」(社会保障・税番号制度)の運用が開始されました。
究極の個人情報ともいえる「マイナンバー」の取扱いについて、番号を収集したものの、その取扱いに関する長期的な業務運用の検討はこれからという企業様も多いのではないでしょうか。
個人番号記載データの保管期間は概ね7年と長いことから、運用計画を検討する際には、事業者に義務付けられた「安全管理措置」に対応しつつ、如何に長期にわたって低コストで安全な運用を担保できるかがポイントとなります。
そこでNHSでは、Paplesをはじめとする「独立したオンプレミス型システム」の導入により、マイナンバー取扱業務の運用範囲を局所化し、いつまでも利用料の支払が続くクラウドサービスに比べて、長期的な運用コストを削減できるソリューションをご提案致します。
マイナンバー記載帳票と安全管理措置
マイナンバー制度導入により、各種人事帳票など従業員の給与・社会保障・税に関わる多岐に亘る帳票にマイナンバー記載が必要となります。
また、税理士やデザイナーなど個人事業主に報酬を支払う場合にも、様々な帳票にマイナンバー記載が必要です。
これらのマイナンバー記載帳票を全て紙で取り扱うと、後々運用面で深刻な問題が発生する可能性があります。
1. マイナンバー記載帳票の破棄、データ消去の問題
マイナンバーとその記載帳票は、各種法定保存期間経過後速やかな消去・破棄が義務付けられています。
しかし、企業が帳票やその控えを長期保管するにあたっては、マイナンバーの法定保存期間だけでなく各種法令の時効など様々な理由があります。
法定調書の控えなど税法上の時効で7年、商法上の関係で10年の保管が望ましい場合、紙で保管していると7年後にマイナンバー箇所だけを手作業で消去しなければならない可能性もあり、運用が非常に煩雑となります。
Paplesなら電子データで控えをマイナンバー有無別に保管し、7年後にマイナンバー記載帳票だけ消去する事も可能です。
NHSではこの機会に電子帳票システムを導入し、マイナンバー記載帳票はできるだけ電子保管し、必要なものだけ随時印刷する事をお勧めします。
2. マイナンバーを管理する「事務取扱担当者」の明確化の問題
従来の人事・会計システムや帳票システムにマイナンバー項目を追加し運用するだけでは様々な問題が発生します。
マイナンバーを取扱い、情報を操作できる「事務取扱担当者」の明確化が義務付けられています。マイナンバー情報を従来の業務データベースに含めると、システム管理者や上長含め、そのデータベースを参照できるすべての人が「事務取扱担当者」となる可能性があり、アクセスできる端末も全て隔離対象となるため、現実問題として、安全管理措置に則った運用管理が非常に難しくなります。
このためNHSでは、マイナンバー情報は独立した管理システムとして運用・管理することをお勧めしています。
3. マイナンバー記載帳票の配布問題
従業員や個人事業主に交付する帳票(源泉徴収票や支払調書など)には多くの個人情報が記載されています。
印刷出力、封入、郵送、現場担当者による配布といった紙による取り扱いは、紛失や盗難などの情報漏えいリスクが高く、また、印刷郵送代行業者などとのデータ授受にも一定のリスクが伴います。
NHSでは、オンプレミス型システムのPaplesが自動でパスワード付PDF帳票を生成し、各個人へメール添付配信するソリューションをご提案しています。
4. 物理的/技術的安全管理措置の問題
事業者に義務付けられている安全管理措置には組織的・人的・物理的・技術的措置があり、手法の例示が「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に記載されています。
取扱うマイナンバーの数やその関連帳票が多い企業では、何らかのシステムや専門サービス導入を前提とした管理が必要となります。
NHSでは特にシステム管理上重要な物理的・技術的安全管理措置について、以下の様な解決方法をご提案致します。
要件 | 手法の例示 | Paplesソリューションでの解決 | |
---|---|---|---|
物理的安全管理措置 | a. 特定個人情報等を取り扱う区域の管理 |
|
マイナンバーとその関連帳票管理を別システムに分離する事で取扱う端末やサーバ、出力プリンタを局所化し、限定的な管理が可能です。電子帳票の参照画面ではマイナンバーはマスキングし、背後からの覗き見による情報漏えいを防止します。 |
b. 機器及び電子媒体等の盗難等の防止 |
|
帳票参照用クライアント端末にはデータを保持していません。また万一サーバ機器が盗難に遭った場合も、データをPaples独自の形式で保管しているため解読困難な状態となります。 | |
c. 電子媒体等を持ち出す場合の漏えい等の防止 |
|
データをPaples独自の形式で保管しており、サーバからHDDの抜き取りやコピーを行っても解読困難な状態となり、情報漏えいを防止できます。 | |
d. 個人番号の削除、機器及び電子媒体等の廃棄 |
|
マイナンバー情報の削除だけでなく、源泉徴収票や支払調書など関連帳票の保管期限設定により、帳票データの自動削除が可能です。また、マイナンバー有無別にデータを保管しているのでマイナンバー有の帳票のみ自動削除する事も可能です。 | |
技術的安全管理措置 | a. アクセス制御 |
|
マイナンバー情報を独立したDBに限定管理する事で、「事務取扱担当者」にアクセス権限を絞り、部門内でも限定的な権限付与が可能です。 |
b. アクセス者の識別と認証 |
|
ユーザID、パスワードによる管理は勿論、アクセス・作成や閲覧・印刷まで操作履歴を詳細に取得しており、問題が発生した際も迅速な追跡が可能です。 | |
c. 外部からの不正アクセス等の防止 |
|
NHSでは専用SEによる社内のセキュリティやネットワークの設定、事前診断や評価等のサービスをご提供しています。さらに、強化されたアクセスログ機能により定期調査や追跡、開示請求にも容易に対応できます。 | |
d. 情報漏えい等の防止 |
|
パスワード設定は勿論、データをPaples独自の形式で保管することにより情報漏えいを防止します。本社/支店間などインターネット通信を利用する場合はSSL-VPNにより暗号化したデータ通信を行います。 |