入退室管理システムとマイナンバー管理区域

マイナンバーにおける入退室管理システムの位置付け

例外なくあらゆる企業に保護と管理が義務づけられているマイナンバー情報。2016年1月から施行され、企業は個人番号の収集、保管、廃棄まで一貫した手順のもとで管理しなければなりません。番号配布当初は税金や年金などを対象としていますが、銀行口座が紐付けられる予定もあり、その価値の高さから多くの犯罪集団が虎視眈々と狙っています。

政府は「特定個人情報の適正な取り扱いに関するガイドライン」において、マイナンバー情報の保護対策として「物理的安全管理措置」と「技術的安全管理措置」を定めています。物理的安全管理措置はハード面の対策であり、入退室管理システムはその「特定個人情報等を取り扱う区域の管理」（マイナンバー管理区域/取扱区域）への出入りの管理として設置しなければなりません。

このほか、物理的安全管理措置には、「機器及び電子媒体等の盗難等の防止」「電子媒体等を持ち出す際の情報漏洩防止」「個人番号の削除、機器及び電子媒体等の廃棄」が記されています。

また、技術的安全管理措置では、「アクセス制御」「アクセス者の識別と認証」「外部からの不正アクセス等の防止」「情報漏洩等の防止」が取り上げられており、入退室管理システムは技術的安全管理措置に関連しているともいえます。

「特定個人情報等を取り扱う区域の管理」とは？

引き続きガイドラインに沿って、どのようにマイナンバーを保護すればいいのかを解説します。まずは前述の「特定個人情報等を取り扱う区域の管理」。これはマイナンバーの「取扱区域」と「管理区域」の2つに分かれており、明確に他のオフィス部門と区別しなければなりません。

■「取扱区域」への対策

マイナンバー取扱区域は、マイナンバーを登録、情報更新、廃棄などを行う事務部門の場所です。マイナンバー取扱担当者のデスクがこれにあたります。この取扱区域に関する物理的安全管理措置としては、「壁または間仕切りなどの設置や座席配置の工夫が考えられる」とされており、それほど厳重な隔離までは要求されていません。

■「管理区域」への対策

マイナンバー管理区域は、マイナンバーを登録しているファイルやデータベースが保管されているITシステムの設置されているエリアです。サーバルームであったり、デスクサイドのパソコンであったりします。マイナンバーの管理システムのある場所です。

入退室管理システムはこのマイナンバー管理区域の対策として登場します。さらに「入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる」とされています。認証も求められているのです。

入退室管理システムは必須!?

ガイドラインには「本則」と「中小規模事業者における対応方法」があり、後者の中小企業向けでやや緩やかにされている場合もありますが、マイナンバー管理区域/取扱区域においてはこれがありません。企業規模の大小にかかわらず安全措置が定められています。

「マイナンバー管理区域」には、入退室管理システムが推奨されていますが、中小企業では現実的ではないケースも考えられます。パソコン1台で事務を行っている、またはネットワークから切り離されたパソコンにマイナンバー関連のファイルを保管している場合です。この場合も確実な安全対策は必要で、そのための施錠付きの「PC収納ボックス」も販売されています。指紋認証などでセキュリティを強化している製品もあります。

まとめ　～ オフィスセキュリティ強化の検討を～

マイナンバー制度の施行を機に、IT関連システムを一定の場所に隔離し、入退室管理システムを導入することも考えられます。マイナンバー制度の施行はオフィスセキュリティ強化の好機ということができます。法制度への対応などで、あわただしく整備してきたセキュリティ施策を棚卸しして、再構築してみてはいかがでしょうか。