マイナンバー制度とは、簡単にいうと、国内に住民票を持つすべての人に12桁の一意の番号を割り振って、社会保障、税、災害対策といった行政の効率するための制度で、今年（2015年）の10月に番号が通知され、来年（2016年）の1月から利用が開始されます。

企業においても、従業員やその扶養家族のマイナンバーを取得し、源泉徴収票や被保険者資格取得届に記載するなど、否応なしにマイナンバーを取り扱うことになります。マイナンバーを取り扱う際には、漏えいなどのリスクが伴いますので、制度開始以前に、しっかりと対策を講じておく必要があります。

企業が講ずべきリスク対策は次の6点です。

• 基本方針の策定
• 取扱規程の策定
• 組織的な対策
• 人的な対策
• 物理的な対策
• 技術的な対策

それぞれについて詳しくみていきましょう。

基本方針の策定

多くの企業がプライバシーポリシーやソーシャルメディアポリシー、セキュリティポリシーといった基本方針を策定していますが、それのマイナンバー版とお考えください。制度がスタートする頃にはマイナンバーポリシーという用語も定着しているかもしれません。マイナンバーの取り扱いに関する質問や苦情の窓口等を策定します。

取り扱い規程の策定

マイナンバーを取り扱う事務やマイナンバーと紐づく個人情報の範囲、それから、マイナンバーを取り扱う担当者を明確にしたうえで、取得、利用、保存、提供、削除・廃棄の段階ごとに、取り扱い方法や責任者、担当者、それぞれの役割等を定めるとよいでしょう。

組織的な対策

組織的な対策としては次の5点が挙げられます。

• 組織体制の整備
• 取り扱い規定に基づく運用
• 取り扱い状況を確認する手段の整備
• 漏えい対応体制の整備
• 取り扱い状況の把握と管理の見直し

まず、規定違反や漏えいの事実や兆候を把握した場合の責任者への報告連絡体制等を整備しましょう。また、せっかく規定を策定しても、規定に沿った運用されなければ意味がありません。規定どおりに運用されているかを確認するための手段として、システムログや利用実績の記録が必要です。そして、漏えいが生じないように運用することは当然ですが、万が一漏えいが起こってしまった場合に、被害が拡大する前に速やかに対応できるように、対応体制を事前に整備しておきましょう。さらに、マイナンバーの取り扱い状況を把握して管理体制の改善に生かすフローを構築しておくことも重要です。

人的な対策

組織がきちんとしていても、実際にマイナンバーを取り扱う担当者がずさんだと意味がありません。担当者の教育や監督を行い、リスク対策を講じる必要があります。また、就業規則に秘密保持に関する条項が存在するかを確認し、存在しなければ就業規則の改変を検討することも必要でしょう。

物理的な対策

物理的な対策としては主に次の4点が想定されます。

• 区域の管理
• 盗難防止
• 漏えい防止
• 削除・廃棄

まず、マイナンバーを取り扱う区域について、別室を設けて入退室管理システムを導入することが考えられます。また、その別室に持ち込む物品についても制限すべきでしょう（記憶媒体など）。別室を用意する余裕がない場合でも、最低限、パーテーションの設置等、他の人から見えないような配置を工夫する必要はあるでしょう。次に、盗難防止措置としては、基本的なことですが、やはり施錠が重要です。マイナンバーを取り扱うPCや書類は施錠できるところにしまうようにしましょう。そして、漏えい防止措置として、データの暗号化やパスワードによる保護を行う必要があります。また、退職等によって不要になったマイナンバーは法令で定められている保存期間経過後、復元できない手段で削除・廃棄しましょう。無用なマイナンバーをいつまでも抱えていることはリスクにしかなりません。

技術的な対策

技術的な対策もポイントは4つあります。

• アクセス制御
• 認証
• 外部からの不正アクセス防止
• 漏えい防止

まず、アクセス制御についてですが、担当者といえども、必ずしもマイナンバーに紐づくすべての個人情報を閲覧しなければならないわけではないでしょう。事務に必要な範囲に絞って情報にアクセスできるように制御しておく必要があります。また、アクセスする際にはIDとパスワード等による認証を行い、いつ誰がどの情報にアクセスしたのか履歴が残るようにするとなおよいでしょう。そして、外部からの不正アクセスを防止するために、ファイアウォールの設置やセキュリティ対策ソフトウェアのインストールが必要です。そして、ログを定期的に分析するなどして、不正なアクセスがないか確認するようにしましょう。さらに、マイナンバーをオンラインでやり取りする場合は、通信経路を暗号化する等の対策を講じたほうがよいでしょう。