メール、暗号化、郵送……、マイナンバーの運用で法人が使える受け渡し手段は?

Cryptobin_ja_Logomark

 

 

2015年の導入から数年を経た今、貴社のマイナンバー運用状況はいかがでしょうか。ルールの策定が済み、社内にしっかり定着したという企業がある一方で、未だ運用が確立されていないとお困りの担当者もいるようです。マイナンバーの取り扱いについては法律で厳しく定められており、またガイドラインなども発行されていますが、具体的にどうすべきなのかがわかりにくいという声も聞こえてきます。

マイナンバーは「特定個人情報」の枠組みで管理されるものなので、取り扱い時に参考になるのは、個人情報保護委員会による『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』です。本記事では、このガイドラインの内容に則って、メール(暗号化)、電話、FAX、郵送といった受け渡し手段の何が問題で、どれなら指針を満たせるのか、具体的に説明します。

また、記事の最後に、ファイル転送サービスを使って個人からマイナンバーを収集する方法についても紹介します。安全・簡単かつ多くの人手に頼らずマイナンバーを収集する方法ですので、ぜひ、ご一読ください。

ガイドラインでチェックすべき箇所とは── 

マイナンバーに関して、『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』で読むべき箇所は、当該ガイドライン別添の『特定個人情報に関する安全管理措置』です。マイナンバーを取り扱う担当者が留意しておきたいのは、次の項目となります(本記事では、各小項目の本文・手法の例示は省略します)。


物理的安全管理措置

事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない。

 a 特定個人情報等を取り扱う区域の管理

 b 機器及び電子媒体等の盗難等の防止

 c 電子媒体等の取扱いにおける漏えい等の防止

 d 個人番号の削除、機器及び電子媒体等の廃棄

技術的安全管理措置

事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。

 a アクセス制御

 b アクセス者の識別と認証

 c 外部からの不正アクセス等の防止

 d 情報漏えい等の防止

アリかナシか? 各受け渡し手段のメリットと問題点 

メールをはじめとする各受け渡し手段と、それらがガイドラインの基準に適うのかどうか、1つひとつ照らし合わせていきましょう。

(1)メールでマイナンバーを送ってはいけない理由

メールにマイナンバーが記されたファイルを添付するのは、ガイドライン違反です。「F 技術的安全管理措置」の「d 情報漏えい等の防止」が関連箇所となります。ここには、特定個人情報等をインターネット等により外部に送信する場合、通信経路からの情報漏えい防止措置を講ずるよう記されています。

 

(2)暗号化してメール添付すれば大丈夫?

暗号化の手法として多くのが挙げるWindows標準機能を使ったZIP化ファイルを右クリックし、ZipCrypto 形式で圧縮しパスワードを付ける手法暗号化アルゴリズムとしては脆弱なため、マイナンバーに限らず利用は控えたほうがよいでしょう。ZipCrypto 形式は古くから浸透している暗号化の手法ではありますが、様々な環境での互換性を重視し、PCの処理能力が低い時代に合わせて作られたもの。近年の技術とPCスペックがあれば、破ることは不可能ではありません。


(3)では、FAXは?

あまり事例を見かけませんが、もちろんNGです。FAXは多くの場合、部署内で共有されているものなので、文書が送信相手に確実に届くかは未知数です。マスキングされていないマイナンバーが、送信先で受信トレイに放置されることにもなりかねません。さらに、メールと同様に誤送信のリスクもあります。

いずれにせよ、「E 物理的安全管理措置」の「a 特定個人情報等を取り扱う区域の管理」に触れる可能性があります。ここでは、特定個人情報等を取り扱う事務を実施する区域について、担当者以外が容易に閲覧等できないよう留意することが求められています。

 

(4)現状、多くの企業に選ばれているのは郵便書留

マイナンバーに関しては、昔ながらの郵便書留を利用している企業が多いようです。この手法なら相手に確実に届き、また受け取ったことを確認できる点がメリットです。

しかし、郵送にはデメリットもあります。紙文書で収集したマイナンバーは、適切なタイミングでスキャナーに取り込み、電子化しなければなりません。細心の注意を要する手作業が発生しますが、これを代行業者に依頼すればコストがかかり、また業者が個人情報の委託先となることで、法令による監督責任も発生します。

 



「ファイル転送サービス」という選択肢

マイナンバーの受け渡しと聞いて、すぐにファイル転送サービスを思いつく方はおそらく少数派でしょう。一時的とはいえ、他社のサーバーに情報を預ける仕組みなので、安全上の懸念は当然出るはずです。しかし、実はファイル転送サービスのなかには、前出の郵便書留の仕組みを電子化し、高いセキュリティを実現したものがあるのです。このようなサービスはマイナンバーをはじめとした個人情報全般の受け渡しに適しています。こちらについてはの記事で詳しく説明しています。

 

次に、マイナンバーの受け渡しに適したサービスに欠かせない条件を3つ挙げました。

 【1】通信経路が暗号化されていること。

 【2】特定個人情報を取り扱う時の区域の管理ができていること。

 【3】復元不可能な形でデータの削除が行えて、削除証明書の提出が可能なこと。

マイナンバーの安全な受け渡しには「クリプト便」

「クリプト便」は、高いセキュリティが求められるビジネスの現場で、長年選ばれてきたファイル転送サービスです。提供元であるNRIセキュアテクノロジーズは、金融・証券にルーツを持つNRIグループのセキュリティ専業企業であり、金融機関での利用を想定した高水準のセキュリティレベルでサービスを提供してきました。

マイナンバーの取り扱いに関しては、上で挙げた3つの条件をクリアする数少ないサービスの1つです。また、デバイス証明書を使ったユーザー単位の端末認証による利用制限を行えるなど、マイナンバーの適したセキュリティ機能を多数搭載しています。

ファイル転送市場シェアNo.1(※1)

クリプト便はユーザー間ファイル転送市場でシェアNo.1(※1)を獲得。高シェアなだけでなく、その業界別内訳では50%を超える顧客が金融関連(※2)という点も特長です。

また、株式会社アイ・エス・レーティングによる「情報セキュリティ格付け」において、2011年当時として初めて、国内最高のセキュリティ格付けAAAisを取得したクラウド(ASP/SaaS)サービスです。

1 株式会社アイ・ティ・アール「ITR Market View:ファイル転送/EDI市場2019」 ユーザー間ファイル転送市場:ベンダー別売上金額シェア

2 NRIセキュアテクノロジーズ株式会社「導入実績 業種内訳(20185月)」



マイナンバーを「ファイル転送サービス」で収集するには

クリプト便のゲスト返信機能は、ユーザーアカウントを持たない多数の個人から、安全・確実にデータを収集する機能です。通信経路、ファイルに加え、専用のテキストエリアに入力された文章はいずれも高度に暗号化され、ガイドラインの要件を満たしています。

使い方は簡単。クリプト便から収集対象者(マイナンバーの提出者)のメールアドレスに返信アドレス付きの空メールを送ります。メールを受け取った対象者は、マイナンバーカード(裏面)や通知カードの写真を添付してこれを返信。いわば、電子メール版往復はがきのようなイメージで利用できます。スマートフォン(※3)にも対応しており、環境を選ばず、広く大勢からデータを収集する業務に適しています。

3 クリプト便の通常機能はスマートフォンに対応していませんが、ゲスト返信機能に限り対応しています。

 

パンフレット

関連製品