Category Archives: マイナンバー集

セキュリティ

ALL, マイナンバー集

Yahoo!メールのデータ消失というニュースを見ました。
また、以前にはスーパーコンピューター「京」でもデータの消失がありました。

原因は様々だと思いますが、消えてしまったという事実は変わりません。

マイナンバー制度が導入されることに伴い、その安全管理措置が課されることからクラウドなどの外部環境を利用して、その安全性を確保しようとする方もいらっしゃると思います。
また、セキュリティ対策としてバックアップなどもそのサービスに含まれていると思います。

しかし、先の例においてもバックアップを行っていないとは考えにくいのではないかと思います。

マイナンバー制度における安全性とは、主にその情報の漏えいに主眼が置かれているように思えます。
万が一データが消失してしまったとしても、マイナンバーは各人から再取得をすることは可能だと思いますが、その安全性管理について疑問符をつけられてしまうのではないでしょうか。

マイナンバーの運用自体は、その運用システムが整っているクラウドなどの外部環境を使用しつつも、そのバックアップは暗号化して手元に置いておくというような物理的にもシステム的にも隔離した環境での保管が必要になるのかもしれません。

改正マイナンバー法

ALL, マイナンバー集

先日、マイナンバー法の改正案が可決しました。

今回の改正案では、金融機関の預貯金口座にマイナンバーを紐付けることが主な柱とされています。

マイナンバーよる口座情報の名寄せですね。

現在でも税務当局は預金情報について照会が可能ですが、その効率性が増します。

2018年から適用されますが、今のところ預金者にマイナンバー告知義務は課されていないようです。

個人カード

ALL, マイナンバー集

政府はマイナンバー制度における個人カードの取得が、企業等で一括して行うことができるようにするようです。

個人カードは平成28年1月から取得可能ですが、各個人が手続きを行い、自治体の窓口で交付を受ける仕組みとなっています。
自治体の負担などを考慮し、企業などで一括して申請することもできるようにするようです。

企業側のメリットとして、一括して申請することにより従業員等のマイナンバーの取得と本人確認がやりやすくなることが挙げられています。

ただし、個人カードの取得は任意のため、取得を希望しない人に関しては従来の方法によることになります。

マイナンバー通知カード

ALL, マイナンバー集

マイナンバー通知カードは10月以降、住民票の住所地に簡易書留で送付されますが、やむを得ない理由により住民票の住所地で受け取れない方は、居所に送付することも可能です。

やむ得ない理由とは以下の通りです

  • 東日本大震災により被災し、住所地以外の場所へ避難している方
  • DV等被害者で、住所地以外の場所へ移動している方
  • 医療機関・施設等への長期の入院・入所が見込まれ、かつ、住所地に誰も居住していない方
  • 上記以外の方で、やむを得ない理由により住所地において通知カードの送付を受けることができない方

手続きの方法

平成27年8月24日(月)から9月25日(金)までに「通知カードの送付先に係る居所登録申請書」を住民票のある市区町村に持参又は郵送(必着)

添付書類

  • 申請者の本人確認書類(運転免許証など)
  • 居所に居住していることを証する書類(公共料金の領収書など)
  • 代理人の代理権を証明する書類(委任状など)[代理人が申請する場合]
  • 代理人の本人確認書類(運転免許証など)[代理人が申請する場合]

総務省ホームページ

マイナンバーで統一

ALL, マイナンバー集, 税務

政府は企業向けの国税と地方税の税務手続きを統一するようです。

従業員の源泉徴収票(国税)と給与支払報告書(地方税)の書式をそろえ、ネットで一括提出できるようにするとのことです。

企業の社会保険料の事務処理を助けるため、官民共同で会計ソフトの開発にも乗り出し、今後、マイナンバー対応で企業の事務負担が増すことに対応し、軽減策を打ち出すようです。

国税と地方税は2017年からマイナンバーを書き込んだ書類をやり取りするようになります。現在は国には源泉徴収票、市区町村には給与支払報告書をそれぞれ提出しますが、政府はこの税務手続きを統一し、17年から源泉徴収票と給与支払報告書を一括で作成・提出できるようにするようです。企業の事務負担が大幅に減る見通しです。

他の書類も利便性を高め、例えば税務署に書面で出す登記事項証明書や出資関係図は、2016年4月からPDFファイルで送れるようにするようです。

社会保険料の手続きも簡単にするため、企業の担当者がネット上で簡単に処理できる会計ソフトの開発を支援するとのことです。税務関係は民間のソフトが普及していますが、社会保険関係は政府が昨年までソフト開発関連の情報を公開していなかったため、開発が進んでいなかったようです。

今年度中に国税・地方税・社会保険の各当局とソフト業界が共同会議を設置し、国がソフト開発に必要な情報を公開して、民間に税と社会保険料に対応できるソフトの開発を促すそうです。

中小企業のソフトの利用率は7割ですが、開発で導入が進むとみられています。政府が企業の税務関連手続きの簡素化を急ぐのは、マイナンバーの導入で事務負担が増えるためです。

マイナンバー法では、企業は社会保障と税に関する書類に番号を書き込んだうえ、一定期間保管しなければなず、その保管・管理が厳格化されています。現行のシステムの仕様変更も必要になり、システム改修費は中小企業でも数百万円から1,000万円程度に上ると見込まれています。

負担だけが増えないように軽減策を用意することで、マイナンバーへの理解を得る狙いもあるようです。

マイナンバーその10

ALL, マイナンバー集

マイナンバー第10回目です。

一通り見てこれたので、まとめたいと思います。

  1. マイナンバーの通知と取得
    平成27年10月から通知カードが郵送される。
    住所地に送られるので、住民票の住所が現在の住まいと異なる人は注意が必要。
  2. 事業者の対応
    1. 事前準備
      取扱規定等の作成や安全管理措置等の構築、契約書の作成・見直しが必要。
      従業員等にマイナンバー制度を周知するとともに通知カードを紛失しないこと、業務においてはその取扱を徹底させる。
    2. マイナンバーの提供
      マイナンバーの提供を受けるときは、本人確認が必要。本人確認は番号確認と身元確認に分かれる。
      通知カードだけでは本人確認とはならない。身分証明書などの身元確認を行えるものが必要。
      平成28年1月から個人番号カードを取得することが可能になる。個人カードはこれ1枚で本人確認となる。

ざっくりいってしまうと、このような感じなのですが、これらを具体化しようとするとかなりの労力を要することと思います。

10回にわたり取り上げてきましたが、ひとまず終了です。

 

 

マイナンバーその9

ALL, マイナンバー集

マイナンバー第9回目です。

今まで取り上げててきたマイナンバーですが、安全管理措置について中小規模事業者は特例があります。

中小規模事業者とは、従業員の数が100人以下の事業者をいいます。
ただし、次に掲げる事業者を除きます。

  • 個人番号利用事務実施者
  • 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
  • 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
  • 個人情報取扱事業者​

本則と特例の対比表は以下の通りです。

 安全管理措置の内容(本則)  中小規模事業者  備考
A 基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。		 基本方針の策定は義務ではありませんが、作ってあれば従業員の教育に役立ちます。
B 取扱規程等の策定
事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない。		 ・特定個人情報等の取扱い等を明確化する。
・事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。		 業務マニュアル、業務フロー図、チェックリスト等に、マイナンバーの取扱いを加えることも考えられます。
C 組織的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければならない。
a 組織体制の整備
安全管理措置を講ずるための組織体制を整備する。		 ・事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい けん制効果が期待できる方法です。
b 取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。		 ・特定個人情報等の取扱状況の分かる記録を保存する。 例えば、次のような方法が考えられます。
・業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況等を記録する。
・取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。
c 取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備する。
なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。		 ・特定個人情報等の取扱状況の分かる記録を保存する。
d 情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。		 ・情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。  業務遂行の基本、「ほうれんそう」(報告・連絡・相談)を確認しましょう。
e 取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。		 ・責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。  事業者のリスクを減らすための方策です。
D 人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければならない。
a 事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。		 従業員の監督・教育は、事業者の基本です。従業員にマイナンバー4箇条を徹底しましょう。
b 事務取扱担当者の教育
事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。
E 物理的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない。
a 特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。		 事業者の規模及び特定個人情報等を取り扱う事務の特性等によりますが、例えば、壁又は間仕切り等の設置及び覗き見されない場所等の座席配置の工夫等が考えられます。
b 機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。		 事業者の規模及び特定個人情報等を取り扱う事務の特性等によりますが、例えば、書類等を盗まれないように書庫等のカギを閉める等が考えられます。
c 電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。
「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある		 ・特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 置き忘れ等にも気を付けましょう。
d 個人番号の削除、機器及び電子媒体等の廃棄
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。		 ・特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。 事業者のリスクを減らすために大切です。
F 技術的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。
a アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。		 ・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。		 担当者以外の者に勝手に見られないようにしましょう
b アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。		 ・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
c 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。		 インターネットにつながっているパソコンで作業を行う場合の対策です。例えば、次のような方法が考えられます。
・ウイルス対策ソフトウェア等を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態にする。
d 情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。		 インターネットにつながっているパソコンで作業を行う場合の対策です。例えば、データの暗号化又はパスワードによる保護等が考えられます。

 

マイナンバーその8

ALL, マイナンバー集

マイナンバー第8回目です。
今回は、「4、業務契約書の作成・見直し」です。

事業者の多くは、年末調整などの事務処理を税理士事務所などに委託していることと思います。
マイナンバー制度では、特定個人情報等の取扱いに係る規定を、業務契約書に記載する必要があります。

また、既に業務契約を締結している場合は、その契約書に特定個人情報の取扱いに係る規定を設けるか、別途、覚書等の書面を取り交わしておく必要があります。

    (例)契約内容の見直し項目

  • 秘密保持義務
  • 事業所内からの特定個人情報の持出しの禁止
  • 特定個人情報の目的外利用の禁止
  • 再委託における条件
  • 漏えい事案等が発生した場合の委託先の責任
  • 委託契約終了後の特定個人情報の返却又は廃棄
  • 従業者に対する監督・教育
  • 契約内容の遵守状況について報告を求める規定 等

以上で、マイナンバー制度の事前準備は終了です。

次回は、中小規模事業者の特例を取り上げます。

マイナンバーその7

ALL, マイナンバー集

マイナンバー第7回目です。

今回は、(3)技術的安全管理措置と(4)人的安全管理措置です。

(3)技術的安全管理措置

技術的安全管理措置では、情報システムの管理等を行います。

  1. 情報システムのアクセス制御
        (例)アクセス制御の方法

      • 個人番号と紐付けて使用する情報の範囲をアクセス制御により限定する
      • 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する
      • ユーザーID に付与するアクセス権により、使用者を事務取扱担当者に限定する等

    事務取扱担当者の識別方法としては、システムにおけるユーザーID 等(ユーザーID・パスワード、磁気・IC カード、生体情報等)の利用が考えられます。

      (例)ユーザーID の利用方法

    • ユーザーID は共用しない
    • 類推されやすいものは避ける
      (例)パスワードの利用方法

    • 定期的に変更する
    • 類推されやすいものは避ける
    • アカウント作成時に付与されたパスワードは使用しない
    • 可能な限り文字列を長くする(8文字以上推奨)
  2. アクセス者の識別と認証特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別し、認証する必要があります。
    事務取扱担当者の識別方法としては、システム又は機器におけるユーザーID 等(ユーザーID・パスワード、磁気・IC カード、生体情報等)が考えられます。
  3. 不正アクセス等からの保護
      (例)不正アクセス・不正ソフトウェアからの保護

    • 機器やソフトウェア等に標準装備されている自動更新機能等の活用
    • セキュリティ対策ソフトウェア(ウィルス対策ソフトウェア)等の導入
    • ファイアウォール等の設置
    • ログ等の定期的な分析 等
  4. データの情報漏えい等の防止インターネット等により外部に送信する場合、情報漏えい等を防止する措置を講じる。
    方法としては、以下のような方法が考えられます。

      (例)情報漏えいの防止策

    • データのパスワードによる保護
    • データの暗号化
    • 通信経路の暗号化 等

    情報漏えい等事案が発生した場合の対応方法については、取扱規程等に規定して適切に対応しましょう。

(4)人的安全管理措置

人的安全管理措置では、事務取扱担当者の監督・教育を行います。

  1. 事務取扱担当者に対する教育の徹底
      (例)教育の手法
  • 定期的な研修の実施
  • 資料の提供 等
  • 事務取扱担当者の監督番号法及び個人情報保護法において、事業者には従業者の監督義務が課されています。
    ※ 従業員等は、担当する事務以外の特定個人情報等を取り扱うことができない点に留意が必要です。
  • 特定個人情報等についての秘密保持に関する事項を就業規則等に追加従業員等には、雇用契約の締結の際(既に雇用契約のある者は番号法施行時)に、誓約書等により、特定個人情報の適正な取扱いについて誓約させます。

これで「3、安全管理措置」は終了です。次回は「4、業務契約書の作成・見直し」です。

マイナンバーその6

ALL, マイナンバー集

今回は、(2)物理的安全管理措置です。
物理的安全管理措置では、特定個人情報等を取り扱う区域の管理等を行います。

  1. 取扱区域・管理区域を確認し、レイアウト等の見直し
    事務取扱担当者が限定されている場合には、原則として、取扱区域及び管理区域を他の領域と区分します。
    取扱区域は、事務取扱担当者の事務作業を行う領域となります。
    事務取扱担当者以外からできる限り隔離する等の工夫が必要です。
    (例)隔離の方法
    ・座席配置を工夫し、事務取扱担当者以外の往来が少なくなるよう配置
    ・机やパソコンの画面を事務取扱担当者以外に後ろから覗き見される可能性が低くなるよう配置
    ・間仕切りを設ける 等

    管理区域は、特定個人情報等を取り扱う情報システム、機器等を管理する領域となります。
    管理区域を区分している場合には、区域への入退室等を管理します。
    機器にて管理している場合は、施錠できるキャビネット等に保管するか、セキュリティワイヤー等にて固定して管理します。
    (例)入退室等管理の方法
    ・IC カード、ナンバーキー等による入退室管理
    ・管理区域へ持ち込む、又は管理区域から持ち出す機器の制限
    ・管理区域の鍵の管理 等
    事務所の事務作業領域に管理区域が含まれる場合、事務所の鍵の管理・施錠の確認を確実に行う必要があります。
  2. 機器・書類等を適正な管理・保管
    磁気媒体等又は書類等は、施錠できるキャビネット、書庫、デスク等に保管します。
    機器等は、セキュリティワイヤー等により固定するか、施錠できるキャビネット等に保管します。
    磁気媒体等又は書類等を取扱区域又は管理区域の外へ持ち出す場合、外部から持ち帰る場合には、紛失・盗難等に留意します。
    (例)磁気媒体等又は書類等の持出しの安全方策
    磁気媒体等の場合
    ・パスワードによる保護
    ・持ち出しデータの暗号化
    ・施錠できる搬送容器の使用 等
     書類等の場合
    ・封入、封緘
    ・目隠しシールの貼付等
    特定個人情報等が記録された書類等を郵送する場合は、簡易書留等、荷物の追跡サービスが付加されている方法をとるとよいでしょう。
    特定個人情報等の持出し・発送記録は、執務記録等に記録します。
  3. 保存期間を過ぎた特定個人情報等は適切な廃棄
    事務処理の必要がなくなった場合で保存期間を経過した場合には、個人番号をできるだけ速やかに復元できない手段で廃棄又は削除しなければなりません。
    (例)廃棄・削除の手法
    書類の場合
    ・民間の廃棄システム・サービス等を利用した焼却・溶解と廃棄証明等の記録
    ・復元できない程度にマスキング
    ・復元できない程度に細断できるシュレッダーを利用 等
     機器・電子媒体等の場合
    ・専用データ消去ソフトウェアの利用
    ・物理的な破壊
    ・特定個人情報ファイル中の該当データを削除(ゴミ箱からも完全削除)
    保存期間を経過した書類等は廃棄することを念頭に、書類等の保存・整理を行います。
    ※ 個人番号部分を復元できない程度にマスキング又は削除した上で保管を継続することは可能です。
1 2 3 4

さいたま市緑区の税理士 渡辺税務会計・KWAT

埼玉県さいたま市緑区東浦和1-8-18-303

営業時間 平日9:00~18:00

関東信越税理士会浦和支部所属

お問い合わせはこちらから

免責事項

当サイトに掲載する情報に関しまして、細心の注意、調査を行って掲載しておりますが、当サイトのすべてに関して、誤りや変更などに伴うくい違いが含まれる場合もございます。従いまして、これらの正確性および完全性を保証するものではありません。当サイトで公開している情報もしくは内容をご利用されたことで、利用者もしくは第三者の方が直接又は間接的に被害を生じた場合について、当人は一切責任を負うものではありません。