入門！ログ管理とは？(3) マイナンバー対策に必要なログ管理とは?

マイナンバーの導入に伴い、企業にも義務付けられる業務があります。
従業員のマインナンバーの取得・保管・廃棄や、各種書面へのマイナンバー記載などです。
マイナンバーを取り扱う、総務・経理、情報システムなどの関連部門では、運用体制と情報セキュリティ対策について早めの体制づくりをお勧めします。

セキュリティ対策をスムーズに運用するにはITの活用が欠かせません。
ここではマイナンバーを取り扱いに必要な安全管理措置と、その安全管理措置としてのログ管理についてご紹介します。

マイナンバーとは？

マイナンバーは、住民票を有する全ての方に１人１つ与えられる12桁の番号です。
マイナンバー導入の目的は、以下のとおりです。

・公平・公正な社会の実現
・行政の効率化
・国民の利便性の向上

【参考】内閣府のマイナンバーに関するWebサイト：
http://www.cas.go.jp/jp/seisaku/bangoseido/

マイナンバーの利用シーン

平成２８年１月から、社会保障、税、災害対策の行政手続にマイナンバーが必要になります。
マイナンバーは社会保障、税、災害対策の中でも、法律や自治体の条例で定められた行政手続でしか使用することはできません。

・社会保障
年金　労働
医療　福祉
年金の資格取得や確認・給付
雇用保険の資格取得や確認・給付
ハローワークの事務
医療保険の保険料徴収
福祉分野の給付・生活保護
など

・税
税務当局に提出する申請書・提出届・調書などに記載
税務当局に内部事務
など

・災害対策
災害者生活再建支援金の支給
災害者台帳の作成事務
など

※このほか、社会保障、地方税、災害対策に関する事務やこれらに類する事務で、地方公共団体が条例で定める事務にマイナンバーを利用することができます。

民間企業におけるマインナンバー取り扱い場面

民間企業は、従業員の健康保険や厚生年金の加入手続を行ったり、従業員の給料から源泉徴収して税金を納めたりしています。
民間事業者も、平成２８年１月以降は、税や社会保険の手続きのためにマイナンバーが必要となります。

民間企業でもマイナンバーの取扱いにかかわる従業員は、以下２つの立場の方々です。

1) 個人番号利用実務者
・自らの業務でマイナンバーを利用（主に行政機関など）

2) 個人番号関係事務実施者
・行政機関等がマイナンバーを業務利用するうえで、補助的にマイナンバーを取り扱う（主に民間企業など）

一般企業においてマイナンバーを利用する主な部門とその業務は以下のとおりです。

・一般企業の部門
総務：全社員への研修、安全管理措置の実施
人事：給与・源泉徴収・保険料
経理：法廷調書
情報システム部門：上記に関するシステム管理
・上記やマイナンバーに関連する業務委託や受託を受ける事業主

マイナンバーを取り扱いに必要な安全管理措置

取得した番号への「アクセス履歴」「利用履歴」 の管理
取得した番号の「用途外利用を排除する仕組み」の構築
取得した番号の安全管理措置への定期的な監査の実施と見直し

安全管理措置としてのログ管理

安全対策措置を定めても、万が一、ルール通りに運用されなかった場合の不正アクセス対策として、ログ管理をしておくことが重要です。
ログ管理を行っておけば、不正アクセスがあった場合の証跡管理を実現でき、問題の早期解決につながります。
また、ログ管理していることを知らしめることで、不正アクセス自体の抑止効果も期待できます。

マイナンバー取り扱いでは、全社的な対策が必要なのは一部の業界や業務に携わる事業主だけで、一般企業で対策が必要な部門や業務の範囲は限られています。
セキュリティを強化する為に、ログ管理と合わせて、まずは、アクセス制限をしたり、特定のPCのみが利用可能な専用のネットワークを設けるシステムなどの構築が有効であると思われます。

ログ管理やアクセス制限のシステム導入には、企業ごとの規模やセキュリティ・ポリシーに基づいて検討する必要があります。
対象PCの台数に応じて、専用の管理サーバーを用意したり、対象PCの台数が少ない場合は、監視対象のPCに対してのみインストールするようなシステムも販売されていますので、自社に必要なセキュリティ対策、ログ管理方針にあった対策を考えましょう。