お知らせ お知らせ
週刊東洋経済 最新号を読む(4/18・25日号)
東洋経済オンラインとは

急務!どこまで対応すればよいのか? マイナンバーの収集から保管、セキュリティ対策の実際

  • 制作:東洋経済企画広告制作チーム
来年1月の社会保障・税に関する番号制度(マイナンバー制度)スタートを前に今年7月、東洋経済新報社主催フォーラム「マイナンバー制度始動 急務!どこまで対応すればよいのか?」が開かれた。今年10月からは12ケタの個人番号通知も始まり、セキュリティ面などで煩雑な対応を迫られる企業担当者らが、専門家の説明や先進企業事例に耳を傾けた。
●主催:東洋経済新報社 ●協賛:新日本有限責任監査法人、マカフィー

基調講演Ⅰ
導入迫るマイナンバー制度
─最新動向と利用拡大にむけて─

金子 郁容
慶應義塾大学
政策・メディア研究科教授

内閣官房マイナンバー等分科会座長も務める金子郁容氏は「マイナンバーの普及と利便性向上はニワトリと卵の関係」として、マイナンバーカードを活用した魅力的なサービスが出てくる必要性を示した。カードには12ケタの個人番号が記載され、ICチップの中には別に個人認証用の電子証明が格納される。これを使えば、自治体への転出入手続きと同時に、銀行、電力、電話会社に住所変更を届けられるワンストップサービスも可能だ。また、ネット通販などに活用すれば、現行のID・パスワード認証よりも安全性を高めることができる。また、マイナンバーのコアシステムは、同様の個人用番号を別に生成できるので、医療IDを生成すれば、ほかの個人情報と切り離して、医療情報を共有する仕組みを容易に構築でき、薬の重複処方などのムダ防止に役立つ。金子氏は「公的個人認証というシステム面に罰則を伴う制度面の方策を併せた、かなりセキュアな仕組みになる」と述べた。

テーマ講演Ⅰ
マイナンバー制度
実務上の課題と対応のポイント

梅澤 泉
新日本有限責任監査法人
アドバイザリー事業部
パートナー公認会計士

新日本有限責任監査法人の梅澤泉氏は、企業のマイナンバー制度への対応を四つのカテゴリーに分け、ポイントを整理した。第一に組織は、全社的プロジェクト体制をつくり、事務局が課題の整理や進捗管理を行い、情報管理規定類の見直し・新規策定も進める。第二に業務プロセスでは、本社と工場、正規と非正規社員で個人番号の集めやすさが異なることを踏まえ、取得方法を整理。人事部門、外部個人への支払いがある部門、個人番号が必要な書類作成業務を洗い出し、保管や廃棄のルールを定める。第三にシステムは、自社対応と外部委託する作業に分けて課題を整理のうえ、自社対応部分におけるシステム活用範囲をあらかじめ慎重に検討する。第四に情報管理では、番号を取り扱う事務、特定個人情報、事務取扱担当者の範囲を明確にする必要を指摘。「各企業は、利用拡大が予想されるマイナンバーの取り扱いルールを定め、今後の活用に向けた足固めをしていただきたい」と訴えた。

基調講演Ⅱ
民間事業者におけるマイナンバー対応の実務と課題

楠 正憲
ヤフー CISO Board

マイナンバー対応は企業にとって組織をまたいだ対応が求められる。ヤフーの楠正憲氏は「経営層の理解が大切」と述べた。ヤフーは、執行役員会の理解の下、CISOを中心にタスクフォースを結成して、人事・財務部門の関連業務を洗い出し、システム化は情報システム部門が、個人番号を含む特定個人情報のデータ管理、個人番号の入った書類を扱う場所の条件などのルール策定は情報セキュリティ部門が担当して対応を進めた。ISMSなどに沿った情報セキュリティマネジメント体制があれば、マイナンバーガイドラインにほぼ対応できるが、「保存期間経過後に、マイナンバーを速やかに廃棄・削除するという保管制限には新たな対応が必要」と指摘した。また「講演の謝金や取引先の個人事業主への支払いといったパッケージソフトでは対応しにくい部分、別の人事系システムを持つ関連会社の対応状況の把握についても見落とさないよう注意が必要」と述べた。

テーマ講演Ⅱ
マイナンバー制度開始で組織に求められる
情報セキュリティ対策

田井 祥雅
マカフィー 執行役員
セールスエンジニアリング
本部 本部長

日本の官公庁・企業ではサイバー攻撃のリスクが高まっている。マカフィーの田井祥雅氏は「マイナンバー制度開始はセキュリティ見直しの良い機会」と述べ、情報を守るためにチェックすべき点を解説した。1点目は、ウイルス対策ソフトの使い方を見直すこと。同ソフトには、把握されているウイルス情報を基に検知する従来のシグネチャー型のほか、怪しい動きをチェックするシグネチャーレス型、安全を確認したソフト以外は実行させないホワイトリスト型があり、状況や必要に応じて使い分け、組み合わせる。2点目は、ログの管理・解析を行い、感染から封じ込めまでの時間を短縮すること。3点目は、ネットワーク構造からセキュリティを見直し、問題発生後の対応組織を整備しておくように提案した。田井氏は「サイバー攻撃を100%防ぎ切ることはできない。ウイルスを送り込まれた後に、どう対応するかを検討していただきたい」と強調した。

パネルディスカッション
どこまで対応すればよいのか?
マイナンバー制度対応の実際

城戸 寿弘
サッポログループマネジメント
グループ人事総務部 人事グループ グループリーダー

山口 博章
もしもしホットライン
人事・業務本部
人事業務部 部長

伊藤 秀也
ワークスアプリケーションズ
情報サービス産業協会
マイナンバーワーキング
グループ委員

梅澤氏、楠氏、田井氏と、コーポレート機能を分担するサッポログループマネジメントの城戸寿弘氏、テレマーケティング会社のもしもしホットラインの山口博章氏が、ワークスアプリケーションズの伊藤秀也氏の司会で、マイナンバー対応を話し合った。

伊藤氏が「どこまでやるかは、特定個人情報保護委員会が出したガイドラインが一つの基準」と切り出すと、梅澤氏は「やらないことで自社にどんなリスクがあるか、というアプローチで整理すべき」、楠氏は「ガイドラインの例示以外のやり方でも構わないと思うが、自己判断ではなく、第三者の意見も仰ぐべき」と応じた。田井氏は「内部情報漏洩に対しても、ログをとって抑止をかける」ことを訴えた。城戸氏は、サッポログループ27社のうち、まだ業務集約していない会社もあるため「未集約会社は、対応方針や業務フローの雛形を用意し、当面は各社で対応してもらう」と説明。多くの学生アルバイトらを抱える山口氏は「住民票住所が実家のままだと、10月からの番号通知が手元に届かないおそれがある。8月から社内に告知し、お盆帰省の際に実家に念押ししてもらう」と述べた。