Comments
Description
Transcript
番号法(マイナンバー制度)への対応 ~忘れ物がないか確認しま
PwC’s View 特集 : Vol. 不適切な会計処理への対応 1 February 2016 www.pwc.com/jp 経営 番号法 ( マイナンバー制度 )への対応 〜忘れ物がないか確認しましょう!! 〜 PwC あらた監査法人 システム・アンド・プロセス・アシュアランス部 ディレクター 綾部 泰二 マイナンバー制度開始 1 2 番号法に基づいて、いわゆるマイナンバー(番号法におけ る個人番号のことを意とする。以下、同じ)による事務処理が 2016年(平成28年)1月より開始されました。大きな混乱な く皆様の企業が番号法への対応を進められたかと存じます。 しかしながら 2015 年 10 月より国民に通知カードの配布 が開始されるとともに、例えば行政、および配達過程で次の ようなインシデントが報道されています。 安全対策基準 マイナンバーの対応を十分に実施しているか否かの確認 は、安全管理措置の実施状況を確認することになります。 安全対策基準は、組織的安全管理措置、人的安全管理措 置、物理的安全管理措置、技術的安全管理措置の四つから 構成されます。 それぞれの安全管理措置において特に重要なポイントと しては次のとおりです。 よって新制度開始時には、想定外のインシデントが発生 しやすいことを考えると、以後の記載を参考にしつつ、十分 な対応が今一度皆様の企業において実施されているか確認 1.組織的安全管理措置の確認ポイント 組織的安全管理措置では、マイナンバーに対する規程の 作成や責任者の任命等の組織体制の整備が求められます。 していただきたいと思います。 図:マイナンバー制度の概要 最近の出来事 2015年10月5日より、 マイナンバーの通知作業が開始されています。 この通知作業の過程において、 さまざまな事故・問題が発生しています。 国民 郵便局 民間企業 ~2015年12月 2015年11月~ 「通知カードの配達」 「個人番号の提供」 マイナンバー通知カード を誤配達(浦安郵便局) 2015年10月~ 「個人番号を記載した 公的証明書の発行」 2015年1月~ 「個人番号カード の交付」 行政機関 誤送付、紛失、 不正利用? 2016年1月~ 「個人番号を 申告書・届出書等へ 記載して提出」 マイナンバー制度に便乗、 不審電話や訪問78件 誤ってマイナンバー記載の 住民票を発行 (取手市役所) 32 PwC’s View — Vol. 01. February 2016 マイナンバー記載の 転出証明書を別人に誤交付 (横浜市) 経営 出典: 「マイナンバー社会保障・税番号制度民間事業者編平成 27 年 2月版」 (内閣官房・内閣府・特定個人情報保護委員会・総務省・国税庁・厚生労働省作成) この組織体制の整備には、マイナンバーが漏えいした場合 4.技術的安全管理措置の確認ポイント 等の体制構築が求められますが、インシデントが発生した 技術的安全管理措置では、アクセス制御、アクセス者の識 場合に、いつ、誰が、何をすべきかが明確になっていること 別と認証、外部からの不正アクセス等の防止、情報漏えい等 が必要です。 に対して対策を講ずることが求められています。 技術的安全管理措置において、ポイントとなるのはマイ あまり考えたくはないのですが、インシデントが発生した 場合に適切に対応できるか否かは、コンプライアンス遵守 ナンバーを取り扱える人をしっかりと識別することですが、 の観点では非常に大事な観点となりますので、インシデン マイナンバーへのアクセス権限者は業務で使用する人に限 ト対応体制の実効性については、ぜひご確認いただきたい 定されているとともに、マイナンバーを取り扱うシステム、 事項となります。 データ、文書に対してアクセス方針が定められることが必 2.人的安全管理措置の確認ポイント 人的安全管理措置では、教育や業務が適切に実施されて いるか否かをモニタリングする仕組みが必要です。 特に教育では、マイナンバーを活用する業務に従事され 要です。 特に社内システムでマイナンバーを管理する場合には、 システム管理者が、システム管理業務の必要性から結果と してマイナンバーにアクセス権限を有する場合の対応につ いては、社内で決める必要があります。 る方には、業務に特化した研修を実施することが必要です。 以上、各管理措置においてポイントを絞って記載しまし また今まで住民票で本人確認を実施していた業務におい たが、以下ではマイナンバーの安全管理措置への対応につ て、誤ってマイナンバーが記入された住民票の呈示を受け いて簡易診断シートを記載します。 た場合などの対応についての研修も、未実施であれば、実施 しておいた方が望ましいでしょう。 3.物理的安全管理措置の確認ポイント 物理的安全管理措置では、マイナンバーを取り扱う区域 制度施行後に安全管理措置の対応で忘れ物がないかのご 確認に役立てていただければ幸いです。 3 簡易診断シート を明確化し、盗難防止や、持ち出し時の漏えい防止を講じる ことが必要です。 特に、マイナンバーの削除、即ち機器の廃棄に伴うデータ 消去や、マイナンバーが記入された紙の廃棄においては、記 以下、簡易診断シートを記載します。 簡易診断シートのご利用に際しては次の使用上の留意事 項につきご理解の上、ご活用ください。 録を残すことが義務付けられているので、忘れずにいつ廃 棄したかの記録を取るようにしてください。 PwC’s View — Vol. 01. February 2016 33 経営 【 使用上の留意事項 】 • 本シートは個人番号への対応を対象としており、法人番 • 本シートは番号制度への主要な対応につき検討漏れがな いかを簡易に評価するものであり、検討内容の網羅性を 担保するものではありません。 号への対応は想定していません。 • 貴社における対応検討については、最新の関係法令、ガ イドラインをご参照ください。 プロセス チェック項目 チェック内容 組織的安全管理措置 組織体制の整備 安全管理措置を講ずるための組織体制を整備しているか。 取扱規程等に基づく運用 取扱規程等に基づく運用状況を確認するため、システムログまたは利用実績を記録 する体制を整備しているか。 取扱状況を確認する 手段の整備 特定個人情報ファイルの取扱状況を確認するための手段を整備しているか。 情報漏えい等事案に対応する 体制の整備 情報漏えい等の事案の発生または兆候を把握した場合に、適切かつ迅速に対応す るための体制および手順等を整備しているか。 事務取扱担当者の監督 特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者 に対して必要かつ適切な監督を行う体制を整備しているか。 事務取扱担当者・従業員の 教育・周知 事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な 教育を行う体制を整備しているか。 法令・内部規程違反等に 対する厳正な対処 法令または内部規程等に違反した職員に対し、法令または内部規程等に基づき厳正 に対処できるか。 特定個人情報等を取り扱う 区域の管理 特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱 う情報システムを管理する区域( 以下「 管理区域 」という )および特定個人情報等 を取り扱う事務を実施する区域( 以下「 取扱区域 」という )を明確にし、物理的な安 全管理措置を講じているか。 機器および電子媒体等の 盗難等の防止 管理区域および取扱区域における特定個人情報等を取り扱う機器、電子媒体および書 類等の盗難または紛失等を防止するために、物理的な安全管理措置を講じているか。 人的安全管理措置 物理的安全管理措置 技術的安全管理措置 電子媒体等を持ち出す場合の 漏えい等の防止 特定個人情報等が記録された電子媒体または書類等を持ち出す場合、容易に個人 番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じて いるか。 「 持出し 」とは、特定個人情報等を、管理区域または取扱区域の外へ移動させるこ とをいい、事業所内での移動等であっても、紛失・盗難等に留意し、方策を講じる 必要がある。 個人番号の削除、機器および 電子媒体等の廃棄 個人番号関係事務または個人番号利用事務を行う必要がなくなった場合で、所管法 令等において定められている保存期間等を経過した場合には、個人番号をできるだ け速やかに復元できない手段で削除または廃棄する体制を整備しているか。 また、個人番号もしくは特定個人情報ファイルを削除した場合、または電子媒体等 を廃棄した場合には、削除または廃棄した記録を保存する体制を整備している。さ らに、これらの作業を委託する場合には、委託先が確実に削除または廃棄したこと について、証明書等により確認する体制を整備しているか。 アクセス制御 情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事 務取扱担当者および当該事務で取り扱う特定個人情報ファイルの範囲を限定する ために、適切なアクセス制御を講じているか。 アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を 有する者であることを識別・認証する仕組みを講じているか。 外部からの不正アクセス等に よる被害の防止等 情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕 組み等を導入し、適切に運用しているか。 情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信経路における 情報漏えい等を防止するための措置を講じ、機器または電子媒体等に保存する必要 が生じた場合には、原則として、暗号化またはパスワードにより秘匿しているか。 綾部 泰二 ( あやべ たいじ) PwCあらた監査法人 システム・アンド・プロセス・アシュアランス部 ディレクター 2006 年公認情報システム監査人( CISA )登録。主に ITガバナンス、シ ステムリスク管理、情報セキュリティ関連の業務に従事している。業種 を問わず ITガバナンス、システムリスク管理、情報セキュリティ関連業 務の現場責任者として多数のクライアントにサービスを提供している。 情報セキュリティ分野において、特にインシデントが発生した場合の再 発防止策検討や有効性評価の実績を多数有する。 メールアドレス:[email protected] 34 PwC’s View — Vol. 01. February 2016 PwC Japan 〒104- 0061 東京都中央区銀座 8-21-1 住友不動産汐留浜離宮ビル Tel. 03 -3546 - 8650 Fax. 03-3546-8738 © 2016 PwC. All rights reserved. PwC refers to the PwC network member firms and/or their specified subsidiaries in Japan, and may sometimes refer to the PwC network. Each of such firms and subsidiaries is a separate legal entity. Please see www.pwc.com/structure for further details.