マイナンバーの安全管理が早くも形骸化、情報漏えいリスクが潜む
一部上場企業のマイナンバー収集から安全管理措置・外部委託状況までの実態を調査
〜持続可能な安全管理のための5つの点検項目を提言〜

2016年9月20日
アビームコンサルティング株式会社

 アビームコンサルティング株式会社(代表取締役社長 岩澤 俊典、東京都千代田区、以下アビームコンサルティング)は、2016年1月より施行されたマイナンバー法に対応する企業の取り組み状況を把握し、必要な対策を明らかにするため、「マイナンバー対応実態調査」を実施しました。

 2016年1月より施行されたマイナンバー法に対応するため、多くの企業で従業員とその扶養家族のマイナンバー収集業務が終了しました。一方、現在マイナンバーの利用は雇用保険など入社・退職者などに限定され、健康保険、厚生年金保険など従業員やその扶養家族のマインバーを本格的に取り扱うのは2017年1月以降となっています。また、制度施行後も税制改正や関連手続きの変更などが度重なり、企業においては何をどこまで準備することが適切なのか見極めにくい状況です。

 本調査の結果、マイナンバーの収集はほとんどの企業で終了しているものの、安全管理措置については、制度施行を乗り切るための急場しのぎの対応にとどまり、安全管理が形骸化していくだけでなく、そこに情報漏えいや法令違反が発生するリスクが潜んでいることが判明しました。そのような結果を受け、アビームコンサルティングでは、企業が持続可能な安全管理措置を行えるよう、対応すべき重要なポイントを5項目にまとめています。

【調査概要】

調査目的:マイナンバー収集および取扱業務、安全管理措置、マイナンバー業務の外部委託状況などマイナンバー対応の実態把握
調査名:「マイナンバー対応実態調査」
調査期間:2016年5月~6月
調査方法:アンケート調査(郵送)、回答は郵送若しくはWeb経由を選択可能
調査対象企業:東証一部の上場企業1,917社
調査対象者:マイナンバー対応責任者
有効回答数:105社

【主な調査結果】

(1)マイナンバー取扱状況を定期的にチェックする仕組みを整えている企業は半数以下

図1:実施した(する予定の)組織的安全管理措置
n=105(複数回答)

(2)セキュリティ事故の発生を未然に防ぐ仕組みが不足、ログのチェックルールを強化した企業は2割以下

図2:マイナンバー対応のために新たに実施した(実施する予定の)技術的安全管理措置
n=105(複数回答)

(3)マイナンバー取扱担当者への教育研修のルールを定めている企業は半数以下、教育研修内容の見直しや定期的に繰り返し実施するとしている企業は4割を大幅に下回る

図3:実施した(する予定の)人的安全管理措置
n=105(複数回答)

【持続可能な安全管理措置のための5つの点検事項】

 今回の調査結果から、企業においては2016年1月の施行に合わせる形での急場しのぎの対応であることが判明しました。アビームコンサルティングでは、2017年以降に迎えるマイナンバーの本格的な運用に向け、持続可能な安全管理措置が行われているか、以下5点について改めて点検し必要な対策を取るべきであると考えています。

(1)情報漏えい事故等、不正を未然に防ぐ抑止力が働いているか

マイナンバーなど特定個人情報の取扱いにおいては、セキュリティ事故が企業への信頼に与える影響は甚大です。ログ等のチェック結果を、定期的に評価、改善し、その取組みを周知徹底し、セキュリティ事故の発生そのものを未然に防ぐ、抑止力が働く仕組みを構築する必要があります。

(2)業務に必須となる運用ルールの策定ができているか

業務運用ルールを作業単位で定めることは特定個人情報の漏えい、紛失等を防ぐために最も有効な方法です。運用ルール策定のみならず、マイナンバーを適正に取扱う方法、業務手順などを具体的に定めることができているか、点検と改善にも注力する必要があります。

(3)取扱担当者に定期的な教育が実施されているか

人事異動・退職などによりマイナンバーを取扱う担当者の入替が随時発生することが想定されます。持続可能な安全管理を実現するためには教育研修の実施ルールを整備し、かつ定期的な実施ができる体制を構築することが重要です。

(4)地方拠点のマイナンバー取扱状況が管理できているか

本社主管部門が教育・指導は行っているが、実際にどのような措置を講じたのかを確認していない場合が散見されます。本社主管部門が、地方拠点の運用状況を定期的にチェックし、マイナンバー取扱状況を継続的に把握することは、地方拠点のマイナンバー取扱区域からの情報流出リスク防止につながります。

(5)グループ会社の安全管理措置に不備はないか

地方拠点へのアプローチと同様に、グループ会社に対しては、組織的、人的、物理的、技術的安全管理措置の全てに渡り、本社が継続的に管理・監督や運用状況の点検を実施することが不可欠です。本社とグループ会社が同じ仕組みで安全管理措置を行うように統制することで、グループ全体のセキュリティレベルを向上させることが可能です。

*アビーム、ABeam及びそのロゴは、アビームコンサルティング株式会社の日本その他の国における登録商標です。
*本文に記載されている会社名及び製品名は各社の商号、商標または登録商標です。

アビームコンサルティング株式会社について

アビームコンサルティングは、アジアを中心とした海外ネットワークを通じ、それぞれの国や地域に即したグローバル・サービスを提供している総合マネジメントコンサルティングファームです。戦略、BPR、IT、組織・人事、アウトソーシングなどの専門知識と、豊富な経験を持つ約4,300名のプロフェッショナルを有し、金融、製造、流通、エネルギー、情報通信、パブリックなどの分野を担う企業、組織に対し幅広いコンサルティングサービスを提供しています。

本件に関するお問い合わせ先

アビームコンサルティング株式会社
コーポレートコミュニケーションユニット 広報担当
TEL:03-6700-8227 FAX:03-6700-8145
E-mail:japan@abeam.com