みなさんの会社では、マイナンバーをどのように管理されていますか?「紙での保管は危険なのでPCで保管しています」という企業も多いのかもしれません。しかし、実際にはPCも漏洩の危険性が高く、決して安全とは言えません。では、どこでどのように保管するのが良いのか? メルマガ『もう、資格だけでは食べていけない』で、現役の行政書士がズバリお答えします!
法律が求めているものと現実のギャップ
マイナンバー法が「法的に求めている」管理体制って、結構厳しい…と感じています。
小規模な事業者については、緩和措置があるものの、現実的には、かなりきちんとした対応を取らなければなりません。
漏洩が起きたときには、大きい会社でも、小さい会社でも、漏れた本人にとっては関係のない話ですので…。
ただ、現実の中小企業では、従来からある番号と同じ取扱い、例えば,年金手帳に書かれている基礎年金番号、雇用保険被保険者番号と同じように管理しているところも多いのではないでしょうか?
マイナンバーはパソコンに保管していいのか?
マイナンバー法のどこを見ても、「マイナンバーはパソコンに保管してはならない」と、書かれているわけではありません。
しかしながら,「物理的な安全管理措置を取ってね」と、法的には求めています。
では、具体的にはどのようなことが求められているか、というと、
・パソコンはワイヤーで机にくくりつけて簡単に持っていけないようにする
・パソコン(OS)にはパスワードを設定しておく
・業務後はかぎ付きキャビネットに保管しておく
・マイナンバーを管理するファイルにはパスワードを設定しておく
というようなことが一般的には言われています。
現実に,かなりワイヤーやキャビネットは売れたようです。
ただ、「これで法的に十分か?」と言われると、非常に疑問です。
なぜなら、
・ワイヤーは、ワイヤーカッターで簡単に切れる
(私、水泳部でしたので、ワイヤーカッターでよく、コースロープのワイヤーを切ってました。)
・ネジをはずして、記憶媒体(HDD・SSD)だけを盗まれたらおしまい
(こうやってデータ救出をするときがありますが…)
・パソコン(OS)のパスワードは強制的にリセットできたり、比較的容易に突破できる
(特に,昔のOSを使っていればいるほど)
・カギ付きキャビネットは、カギ部分や側面が物理的に簡単に壊すことができる
(ハンマーで殴ったら開いたり、穴があいたり…)
・ファイルにつけたパスワードはソフトを使って、総当りで解析すると比較的簡単に見つかってしまう
(8文字以上で半角英数・大文字・小文字・記号を混ぜて使えばよっぽど…という気もしますが)
というように、比較的簡単に「安全管理体制」を突破することが可能、なんです。
他にも、意外と知られていないので怖いのですが、パソコン上で削除したファイルは、ゴミ箱を空にしたとしても、専用のソフトを使えば、簡単に復元することが可能です。
とすると、マイナンバー漏洩時になどのトラブル発生時に「簡単に突破できる環境しか整えなかった」ということに対して、【落ち度があった】と、法的に評価される可能性は十分にありうる、ということが考えられます。
中小企業はどのように対応すればよいか?
では、中小企業はパソコンでどのようにマイナンバーを管理すれば、法的に良いのでしょうか?
私が全国で中小企業さんや行政書士・社会保険労務士などの専門家にお勧めしている方法があります。
ズバリ、
「マイナンバーをパソコンに保管させない」
ということです。
そんな元も子もないことを…と思うかもしれませんが、これが最適な方法だという結論に達しました。
正確にいうと、マイナンバーを自社で保管しない仕組みをつくる、ということです。
紙でも保管することなく、データでも一切、自社内に保管しない、ということを目標にします。
実際、大手の企業では外部機関に収集・保管を委託しているところがかなりあります。
でも、中小企業では大手のようにコストをかけることはできません。
どうするか、というと、クラウド系のサービスを利用するのがよいと考えています。
例えば、弊社が利用しているMFクラウドマイナンバーというサービスなどがあります。
通常、マイナンバーの収集は、マイナンバー通知書やマイナンバーカードの現物を直接取扱い、コピー・スキャンなどを行ないます。
一方で、これらのクラウド系サービスでは、従業員や取引先等からシステムを使って収集することができ、自社でマイナンバーを保管することがなくなります。
従業員や取引先の機械からデータが直接、クラウド系サービスにやり取りされるわけで、万が一、この取得時に伴って漏洩が発生したとしても、法的なリスクを従業員・取引先、システム会社にある程度、転嫁することができるのです。
また、保管についても自社で保管するよりは、よっぽど安価で安全に保管することができます。
データを保管しない、というのが、一番の対策なのです。
そういえば、昔、
「交通事故を起こさないために、自動車は運転しない」
と言っていた弁護士さんがいらっしゃいましたが、確かにそのとおりかもしれません。
ただし、クラウド系サービスの利用については、本当に安全なものを選んだのか?という、法的責任は問われることとなるので、慎重に選ばないといけないところではあります。
自社で法的に落ち度がないといわれるセキュリティ体制を整えるのは至難のワザです。
是非、全部が全部、自分たちでやらなくてもいいんだ、ということを覚えておいていただいて、今後の体制をしっかり、整えていきましょう!
(執筆・行政書士ほみにす法務事務所 澤田隼人行政書士)
image by: kyokyo
「行列のできる行政書士事務所の作り方」など累計12万部の資格コンサルタント横須賀輝尚(てるひさ)の公式メルマガ。全国1,500名以上の士業が学んだ経営ノウハウを公開。これまでの常識を超えた士業・資格業の営業ノウハウを週1回配信。
<<登録はこちら>>