マイナンバー対応について~セキュリティの観点から~ 第2回 事業者が行うべきマイナンバー制度対応
はじめに
第2回ではマイナンバー制度を事業者はどのように対応するべきかを簡単に説明します。全体の概要を説明した上で、個別の詳細については次回以降に説明したいと思います。
マイナンバー制度対応の進め方
事業者がマイナンバー制度対応を行うには、大きく以下のプロセスに従って準備を進めていくと効率的と思われます。事業規模が大きい、および外部委託が多い事業者は、対象業務の抜けもれなどに注意する必要があります。
- ① 対象業務の洗い出し
- 自組織の中でマイナンバーがどのような場面で取り扱われるか洗い出しを行い、対象業務と範囲を明確にします
- ② 洗い出された現在の対象業務と求められる安全管理措置のギャップ分析
- 「特定個人情報に関する安全管理措置(事業者編)」から、現在の対象業務とのギャップ分析を行い、不足しているものは何かを明確にします。このプロセスでは関係する社内規程類やシステム対応へのギャップも含めて分析します。
- ③ ギャップ分析からの対応
- ギャップ分析からの不足分についてリスト化し、リスクの高いと思われるものから計画的に対応を実施します。このプロセスでは社内規程類の見直し、システム対応、変更周知の教育、運用の監査も含めて、どのように対応するかを一元管理します。
① 対象業務の洗い出し
自組織内でどのようにマイナンバーが取り扱われるか、明確な範囲と業務を理解する必要があります。
取得から廃棄までのライフサイクル管理において、マイナンバー情報がどのように流れていくかを確認し、全てのプロセスにおいて安全管理措置を講ずる必要があります。最初は大変かもしれませんが、マイナンバーが必要となる状況は限られているため、すぐに慣れると思います。
② 洗い出された現在の対象業務と求められる安全管理措置のギャップ分析
業務フロー、社内規程類、担当者インタビュー、現地調査などで、洗い出された対象業務と安全管理措置とのギャップ分析を総合的に行います。ギャップ分析シートなどによって不足点や曖昧な点を明確化し、対応をどのように行うか計画的に進めていきます。業務フローがあるとプロセスが可視化されるので、洗い出しやギャップ分析に便利ですが、作成する労力がかかるため、なければあえて新規に作成する必要もないと思います。
③ ギャップ分析からの対応
ギャップ分析からの対応については、組織体制やルールの見直し、物理的、技術的安全管理措置も考慮する必要があります。場合によってはシステム改修や、物理的安全管理対策なども必要になりますので、全社的な取組みとして組織的に活動し、ヒト、モノ、カネを確保しつつ計画的に対応する必要があります。
おわりに
次回は、事業者によるマイナンバー制度対応の各事項に対して、少し詳細な内容を説明したいと思います。
Writer Profile
セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治、戸田 勝之
Tweet