アビームコンサルティングは9月20日、「マイナンバー対応実態調査」の結果を発表した。1月より施行されたマイナンバー法に対応する企業の取り組み状況を把握し、必要な対策を明らかにする目的で同社が実施したもの。
その結果、マイナンバーの収集はほとんどの企業で終了しているものの、安全管理措置については、制度施行を乗り切るための急場しのぎの対応にとどまり、安全管理が形骸化していくだけでなく、そこに情報漏えいや法令違反が発生するリスクが潜んでいることが判明したという。
また同社では今回の結果を受け、アビームコンサルティングでは、企業が持続可能な安全管理措置を行えるよう、対応すべき重要なポイントを5項目にまとめている。
1月より施行されたマイナンバー法に対応するため、多くの企業で従業員とその扶養家族のマイナンバー収集業務が終了した。一方、現在マイナンバーの利用は雇用保険など入社・退職者などに限定され、健康保険、厚生年金保険など従業員やその扶養家族のマイナンバーを本格的に取り扱うのは2017年1月以降となっている。
また、制度施行後も税制改正や関連手続きの変更などが度重なり、企業においては何をどこまで準備することが適切なのか見極めにくい状況となっている。
今回の調査は、企業におけるマイナンバー収集および取扱業務、安全管理措置、マイナンバー業務の外部委託状況などマイナンバー対応の実態把握を目的として、5月から6月にかけて、東証一部の上場企業1917社におけるマイナンバー対応責任者を対象とし、郵送アンケートで実施された。有効回答数は105社。
主な調査結果は以下の通り。
マイナンバー取扱状況を定期的にチェックする仕組みを整えている企業は半数以下
実施した(する予定の)組織的安全管理措置(n=105、複数回答)(アビーム提供)
セキュリティ事故の発生を未然に防ぐ仕組みが不足、ログのチェックルールを強化した企業は2割以下
マイナンバー対応のために新たに実施した(実施する予定の)技術的安全管理措置(n=105、複数回答)(アビーム提供)
マイナンバー取扱担当者への教育研修のルールを定めている企業は半数以下、教育研修内容の見直しや定期的に繰り返し実施するとしている企業は4割を大幅に下回る
実施した(する予定の)人的安全管理措置(n=105、複数回答)(アビーム提供)
アビームでは、今回の調査結果から企業においては2016年1月の施行に合わせる形での急場しのぎの対応であることが判明したとしている。これの結果に対し同社は、2017年以降に迎えるマイナンバーの本格的な運用に向け、持続可能な安全管理措置が行われているか、以下の5点について改めて点検し必要な対策を取るべきであるとした。
情報漏えい事故など、不正を未然に防ぐ抑止力が働いているか
マイナンバーなど特定個人情報の取扱いにおいては、セキュリティ事故が企業への信頼に与える影響は甚大なものとなる。ログなどのチェック結果を、定期的に評価、改善し、その取組みを周知徹底し、セキュリティ事故の発生そのものを未然に防ぐ、抑止力が働く仕組みを構築する必要がある。
業務に必須となる運用ルールの策定ができているか
業務運用ルールを作業単位で定めることは特定個人情報の漏えい、紛失等を防ぐために最も有効な方法である。運用ルール策定のみならず、マイナンバーを適正に取扱う方法、業務手順などを具体的に定めることができているか、点検と改善にも注力する必要がある。
取扱担当者に定期的な教育が実施されているか
人事異動・退職などによりマイナンバーを取扱う担当者の入替が随時発生することが想定される。持続可能な安全管理を実現するためには教育研修の実施ルールを整備し、かつ定期的な実施ができる体制を構築することが重要。
地方拠点のマイナンバー取扱状況が管理できているか
本社主管部門が教育・指導は行っているが、実際にどのような措置を講じたのかを確認していない場合が散見される。本社主管部門が、地方拠点の運用状況を定期的にチェックし、マイナンバー取扱状況を継続的に把握することは、地方拠点のマイナンバー取扱区域からの情報流出リスク防止につながる。
グループ会社の安全管理措置に不備はないか
地方拠点へのアプローチと同様に、グループ会社に対しては、組織的、人的、物理的、技術的安全管理措置の全てにわたり、本社が継続的に管理・監督や運用状況の点検を実施することが不可欠となる。本社とグループ会社が同じ仕組みで安全管理措置を行うように統制することで、グループ全体のセキュリティレベルを向上させることができる。
