マイナンバー対策における“意外”な落とし穴とは!?

IT・IT製品TOP > Key Conductors > 金田 智行(株式会社パシフィックネット) > マイナンバー対策における“意外”な落とし穴とは!?
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

マイナンバー対策における“意外”な落とし穴とは!?

物理セキュリティ 2015/07/27

迫るマイナンバー対応…ガイドラインで定められる「安全管理措置」に注目!

 いよいよ、国民へのマイナンバーの通知が間近に迫ってきました。従業員のマイナンバーを取り扱う部門のご担当者、そして管理システムや情報機器を管理される部門の皆様は2016年1月からの収集・運用開始に合わせて、準備と対策を講じていることと思います。
 そんな中、現況を見てみますとマイナンバーの「収集・運用」段階での対策については既に情報が充実しつつあり、数多くのセミナーが開催されていますので、対策に抜かりのない企業も多いと思われます。しかし実は、皆様がこれで万全と思っているマイナンバー対策には、“廃棄”という点で意外な落とし穴があるのです。

 特定個人情報保護委員会発行の、マイナンバーガイドライン(正式名称:特定個人情報の適正な取扱いに関するガイドライン)では、以下の4つの安全管理措置が定められています。

「特定個人情報の適正な取扱いに関するガイドライン」で定められる4つの安全管理措置

(1)

運用体制と利用記録、漏えい時の対応等に関する「組織的安全管理措置」

(2)

マイナンバー事務取扱担当者の監督・教育に関する「人的安全管理措置」

(3)

マイナンバー取扱区域のセキュリティや機器・電子媒体の取扱・廃棄等に関する「物理的安全管理措置」

(4)

マイナンバーを管理するシステムへのアクセス制限や不正アクセス防止等のセキュリティに関する「技術的安全管理措置」

 この中で(3)「物理的安全管理措置」の項目中に“機器・電子媒体の廃棄”についての事項が明記されており、他の措置と同様に事業者に対応が求められているというのをご存じでしょうか?
 マイナンバーの収集・運用開始の時点では、直接業務に影響がない部分だけに、多くの対策を講じなければならない中で、すぐに発生しない「機器・電子媒体の廃棄」については後回しにされたり、タスクから漏れたりしてしまいがちです。しかし、マイナンバー制度が施行され運用が開始されても、こと廃棄に関しては、マイナンバーの収集開始迄に機器の一斉入れ替えを行う等ということはあまり考えられず、マイナンバーの記録された機器・電子媒体の廃棄のサイクルもこれまで通り変わりません。つまり早ければすぐにも、遅くとも近年中には否応なしに廃棄の時期が迫ってくることになります。よって遅かれ早かれ、事業者は機器・電子媒体の廃棄が適正に行われる体制の構築と委託先の選定を行わなっておかなくてはならないのです。

 ガイドラインを詳しく見てみると「個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。」とあります。
 これは分りやすく言うと、以下のように解釈できます。

マイナンバーが記録された書類は、焼却又は溶解等の復元不可能な手段を採用すること。

機器及び電子媒体等に記録されたマイナンバーは、必要なくなった段階で速やかなデータ削除を行い、機器及び電子媒体を廃棄する場合は専用のデータ削除ソフトウェアの利用又は物理的な破壊により復元不可能な手段を採用すること。

 また同ガイドラインには「個人番号若しくは特定個人情報ファイルを削除した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。」ともあります。
 こちらは、マイナンバーが保存された機器・電子媒体からデータを削除した場合は、削除の記録を保管し、その作業を外部に委託した際には、委託先が発行したデータ消去証明書等の書面にて、マイナンバーが適正に削除されたことを委託元が確認をしなければならないということです。

情報漏洩・紛失事故の主原因となるのは…?

 興味深い調査データがあります。東京商工リサーチの調査結果によると、『情報漏えい・紛失事故288件のうち、主な理由として最も多かったのは「紛失・誤廃棄」の132件(構成比45.8%)だった』とあります。いかに、情報機器の管理が杜撰に行われている企業が多いのか、またそこに潜むリスクが多いのかがわかる結果となっています。

情報漏洩・紛失事故の原因例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

情報漏洩・紛失事故の原因例

 経営者や担当部門の責任者は、このリスクをしっかりと理解し、マイナンバー制度施行を契機に、社内の情報機器の管理を見直し、排出・廃棄について1台ずつ記録を残し管理することのできるトレーサビリティと、記録されたデータを完全に消去しているかの安全性、そしてどのように、信頼のおける排出先・委託先を選定していくのかが重要になってきます。

 次回より、適正な機器・電子媒体のデータ削除手段、及び機器の処分・廃棄に関する委託先選定のポイントについて、連載させていただきます。
 マイナンバー対策を期に、皆様の会社でも“データ削除”や“機器廃棄”について再考いただくきっかけになれば幸いです。どうぞよろしくお願いいたします。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008123


IT・IT製品TOP > Key Conductors > 金田 智行(株式会社パシフィックネット) > マイナンバー対策における“意外”な落とし穴とは!?

このページの先頭へ

キーマンズネットとは
株式会社パシフィックネット取締役 アセット営業部長 2003年パシフィックネット入社。名古屋支店長を5年務めた後、IT機器の買取・回収などの処分や、 データ消去サービスを取り扱うアセット営業部の部長として主力商品であるアセットサービスを牽引する。2014年取締役に就任。

ページトップへ