東芝情報システムは7月28日、従業員のPCに保存されているマイナンバーや個人情報、設計図面などの機密情報を含むファイルを検出し、自動で暗号化するソリューション「File Secure-Protection」の販売を9月より開始すると発表した。同製品は、あらかじめ指定したルールに従って従業員のPCに保存されている機密ファイルを定期的に検索する。検索の結果、機密ファイルを発見すると、閲覧制限(閲覧期間や回数、印刷可否等)を付与して機密情報ファイルを自動で暗号化する。これにより、機密ファイルが社外に流出した際も、ファイルの中の機密情報が流出することを防ぐ。管理者は、機密ファイルが「誰」の「PC」の「どこに」保管されているかを把握可能になる。
2015年07月29日前回は、マイナンバーの保管から利用までのシーンで求められる安全管理措置と、そのために何をしなければならないのかをみてきました。ここまでは、中小企業が源泉徴収票の作成など年末調整業務や社会保障関連の書類作成を行うことを前提に、準備しなければならないことなどを見てきましたが、多くの中小企業では、これらの業務を税理士や社会保険労務士に委託しているのが実際です。今回は、マイナンバーの取り扱いを税理士事務所などに委託する場合の注意点や相互の役割分担により安全に運用するためのポイントなどをみていきます。○マイナンバー 委託についてのルール中小企業がマイナンバーの取り扱いを税理士事務所などに委託する場合、中小企業は委託先となる税理士事務所において、安全管理措置などが講じられるよう必要かつ適切な監督を行う必要があります。「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報保護委員会 以下「ガイドライン」)では、この「必要かつ適切な監督」について以下の3つをあげています。委託先の適切な選定委託先の選定にあたって、事業者自らが果たすべき安全管理措置と同等の措置が講じられているかどうか、あらかじめ確認しなければなりません。安全管理措置に関する委託契約の締結契約内容として、秘密保持義務やマイナンバーを含む特定個人情報の目的外利用の禁止、再委託する場合の条件、漏えいなどが発生した場合の委託先の責任などを盛り込んだ契約を結ぶ必要があります。委託先における特定個人情報の取扱状況の把握委託した特定個人情報が、安全管理措置のもと委託契約にそって適切に取り扱われているか、その状況を把握できるようにする必要があります。○委託する場合は税理士事務所などにまず相談することから始める「ガイドライン」が示す委託についてのルールは上記のとおりですが、実際に従来から年末調整などを税理士事務所に委託している多くの中小企業では、そのまま同じ税理士事務所に従業員などのマイナンバーの取り扱いも委託することになると考えられます。税理士の方々の集まりである日本税理士会連合会では、このマイナンバー制度、特にマイナンバーの取り扱いについて早くから問題意識をもって取り組み、「税理士のためのマイナンバー対応ガイドブック」を発行、全税理士に発送するとともに、研修会等を通して、マイナンバー制度への理解を促し、税理士が中小企業からの委託を受けるための対応準備への取り組みを早めに進められるように活動されています。年末調整だけでなく所得税など個人の税務関連でもマイナンバーを取り扱うことになる税理士事務所では、大量のマイナンバーを取り扱うことになりますので、事務所での対応準備に加えて、顧問先である中小企業に対してもどのような準備をすれば良いのかなど、すでに案内を始めている事務所も多いようです。従来から企業として法人税などの税務代理をお願いし、年末調整も依頼している場合、経理指導や税務についてのアドバイスを税理士事務所から受ける立場の中小企業が、マイナンバーの取り扱いについては税理士事務所を監督する立場となるわけですが、実際にどのようにすれば良いのか、顧問の税理士事務所に相談することからまず始めましょう。○現実的な役割分担を決める年末調整業務を税理士事務所に委託する場合を例に、中小企業と税理士事務所でどのように役割を分担することになるのか考えてみましょう。マイナンバーの取り扱いでは、収集・保管(廃棄)・利用といったプロセスを経て、最終的に番号法で決められた利用目的にそくしてマイナンバーを記載した源泉徴収票などを行政機関に提出することになります。従来税理士事務所が、年末調整業務において、中小企業の従業員や扶養親族の情報をパソコンなどに登録し、1年分の給与所得などを入力して源泉徴収票などを作成し税務署に提出するまでの業務を請け負っているとすると、マイナンバーの保管(廃棄)・利用・提供というプロセスは、税理士事務所が中小企業の委託をうけて行うことになります。では、従業員から本人および扶養親族のマイナンバーを収集するというプロセスは、どちらが行うことにすべきでしょうか?収集に際して必須となる本人確認において、継続的な雇用関係にあり人違いでないことを企業の取扱事務担当者または責任者が確認すれば身元確認書類は不要とされていますので、従業員に身元確認書類を用意させる手間を省くためにも、中小企業側で収集を行うほうが良いと考えられます。○役割分担に応じた準備と考慮すべき安全管理措置収集は中小企業で、保管(廃棄)・利用・提供は税理士事務所でと役割分担した場合、中小企業側ではどのような準備をしていけばよいでしょうか?従業員からの収集にあたっての準備の詳細は、連載第5回の「従業員からの個人番号の収集」で見たとおりですが、従業員への案内の方法や利用目的として明示する内容については、あらためて税理士事務所と相談しておくのがよいでしょう。その上で、収集方法や収集した従業員のマイナンバーの受け渡し方法を税理士事務所と相談して決めましょう。例えば、収集時に表計算ソフトなどを利用して電子データとして登録する場合は、USBメモリーなどで受け渡す方法などが考えられます。この場合、税理士事務所に渡したあと、中小企業側ではマイナンバーの利用用途がないのであれば、税理士事務所できちんと保管されていることを確認し、一旦登録した従業員のマイナンバーは破棄してしまえば、保管に関する安全管理措置までは必要ないことになります。書面で収集する場合、従業員から「給与所得者の扶養控除等(異動)申告書」にマイナンバーを記載して提出させる方法をとることになりますが、コピーを税理士事務所に渡し、原本は中小企業で保管しなければなりませんので、施錠できる書庫などに保管するなどの安全管理措置は必要となります。いずれの方法をとる場合でも、受け渡しに際してマイナンバーを持ち出す際のリスクを軽減するために安全管理措置を講じる必要はあります。以上のような受け渡し方法は、税理士事務所が利用しているシステムに依存して決まってくると考えられます。税理士事務所の多くは、事務所内のバソコンやサーバーにデータを保管するシステムを利用しており、そのために、上記のような方法で顧問先である中小企業が収集しても、受け渡す際の安全管理措置や、税理士事務所でのデータの取り込みまたはデータ入力で、税理士事務所にも大きな負荷がかかってきます。では、クラウドのシステムを利用している税理士事務所の場合は、中小企業でのマイナンバーの収集方法やデータの受け渡し方法はどのようになってくるのでしょうか?もともとクラウドシステムの大きな特徴は、税理士事務所と顧問先中小企業でデータをリアルタイムで共有できることです。この特徴を活かせば、中小企業でマイナンバーを収集時に、インターネットにつないだパソコンで従業員本人または取扱事務担当者がクラウド上のマイナンバー用のデータベースに入力、保存すれば、クラウド上で保管され、それはそのまま税理士事務所に共有される仕組みが提供できます。税理士事務所では、共有されたマイナンバーを利用して源泉徴収票などを作成、電子申告までそのままスムーズにできれば、手元でマイナンバーを管理することなく、申告まで完了できます。このようなクラウドであれば、受け渡し時の安全管理措置は不要となりますし、中小企業、税理士事務所とも事務所内にマイナンバーを保管することもありませんので、その部分での安全管理措置も大幅に軽減できます。また、クラウドシステムで利用されるデータセンターはセキュリティ対策にさまざまな施策を施しており、中小企業や税理士事務所に比べれば格段に高いセキュリティが保たれています。中小企業が税理士事務所にマイナンバーの取り扱いを委託する場合、「委託先の適切な選定」のために、中小企業と税理士事務所の連携でどれだけマイナンバーの安全な管理ができるのかという視点で、税理士事務所がマイナンバーの取り扱いに利用しようとするシステムについても確認しておくことは、大事なポイントとなります。著者略歴中尾健一(なかおけんいち)アカウンティング・サース・ジャパン株式会社取締役1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。
2015年07月27日日本オラクルは7月21日、全国の地方自治体を対象に、マイナンバー社会保障・税番号制度(以下 マイナンバー制度)の安全管理措置に求められる要件と施策を自治体自身で整理し、データ・セキュリティ対策の具体的な検討と実装を行うことを支援するサービス「自治体向けマイナンバー・スタートアップ・テンプレート」の無償提供を開始すると発表した。「自治体向けマイナンバー・スタートアップ・テンプレート」は、マイナンバー制度に関連したドキュメント、サービス、同社のPaaS「Oracle Cloud Platform」での検証環境を提供するもの。提供される主なドキュメントは、「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」から、ガイドラインを順守するための一般的な情報システムにおける方針と施策を整理し、担当者ごとに求められる施策を整理するためのヒアリングシート、および、個人番号と個人情報など特定個人情報のシステムを独立させた新規システムを構築し、特定個人情報のファイルに対する安全管理措置をデータベースで実現させるための「データ暗号化」、「アクセス制御」、「監査」を行うための3種類のテンプレート。また、各自治体で稼働している「Oracle Database」のセキュリティ状況を、同社のエンジニアが無償で客観的に可視化する「セキュリティアセスメントサービス」を提供し、上記のテンプレートを動作させる基盤、検証環境としてのPaaS「Oracle Cloud Platform」サービスを提供する。そのほか、同社のコンサルタントがアセスメントの結果と顧客の要件に基づいて計画策定を行い、セキュリティの実装と運用を支援する有償サービス「マイナンバー向けOracle Database Securityコンサルティング・サービス」も提供し、自治体におけるマイナンバー対応に向けたデータ・セキュリティ対策を支援する。
2015年07月21日今年の10月からスタートするマイナンバー制度。国民全員にマイナンバーが通知され、施行されていくことになります。マイナンバー制度について、報道やCMなどで耳にしたことはあっても、その内容をきちんと理解できていない人も多いのではないでしょうか。施行される前に、制度についてきちんと知っておきましょう。マイナンバー制度ってどんなもの?マイナンバーとは、1人に1つずつ国から定められる12桁の個人番号のこと。今年の10月から通知され、2016年1月から社会保障、税、災害対策の行政手続きで使われることになります。マイナンバーは、国内に住民票を持つすべての人に与えられ、原則として一生変わりません。制度のスタートにあたって手続きなどは一切必要ありませんが、逆に「マイナンバー制度に加入したくない」ということもできません。これまで、個人の税金や社会保障に関する情報は、各自治体や税務署、年金事務所などがそれぞれ管理していました。マイナンバーの導入によって、それらが1つの番号で管理されることになります。マイナンバー制度のメリットとは現在、税金の確定申告や国民保険の加入などの各種申請には、さまざまな添付書類が必要です。しかし、マイナンバーによって税や社会保障に関わる情報が一元的に管理されるようになれば、添付書類も減り手続きが簡単になります。確定申告や引っ越しの際はもちろん、災害にあったときの支援給付を受け取る場合などは、手続きがスピーディなのは大きなメリットになります。また、所得や納税、行政サービスの受給状況がしっかり把握できるようになるため、不正を防ぎやすくなります。たとえば生活保護の不正受給などを防ぎ、本当に必要な人に行政サービスを行うことができます。さらに、手続きが簡略化するということは、行政の作業の効率化にもつながります。各種手続きの際の情報の照合や入力などが必要なくなり、作業の無駄を省くことができます。マイナンバーはどんな場面で必要?マイナンバーが必要になるのは、雇用保険や年金の手続きや確定申告、災害の支援金の受給時などです。源泉徴収票への記載も必要なため、会社勤めの人は勤務先に自分のマイナンバーを知らせる必要があります。法定調書などに記載するため、証券会社や保険会社にもマイナンバーを提示することになります。また、子どもがいて児童手当を受け取っている人は、毎年1回の現況届の際にマイナンバーを提示します。マイナンバー制度導入で考えられるリスクとは便利なことの多いマイナンバー制度ですが、導入後のリスクも考えられます。まず気をつけなければいけないのが、個人情報の流出や不正利用。先日起こった日本年金機構の情報漏えい事件のこともあり、気になるところですよね。現在のところ、マイナンバーの利用は行政手続きに関わるものに限定されていますが、将来的には民間サービスにも利用が拡大されていくといわれています。そうなると怖いのが、なりすましなどの不正利用です。番号が盗まれて知らない間にクレジットカードを作られてしまったり、ローンを組まれてしまったり…ということが、ないとも限りません。また、将来的には、個人の銀行口座もマイナンバーと関連付けられる可能性もあります。そうなると、税務署などにお金の流れがすべて把握されてしまうことに。もちろん、脱税や所得隠しなどやましいことがなければ、何も問題はないのかもしれません。でもたとえば、身内の間で気軽にお金を振り込んだら、贈与税だと税務署にチェックされる…ということもあるかもしれません。マイナンバーが通知されたら、流出を防ぐために自分自身でもしっかりと管理すること。そして、今度どのように活用されていくのか、きちんと注目していきたいですね。
2015年07月20日スターティアは、中堅・中小企業を対象にファイルのアクセスログ管理・ウィルス対策ソフト、アクセス権の設定などマイナンバー対策に役立つセキュリティ機能がセットになったファイルサーバ(NAS)「Store-BoxPlus(ストアボックス プラス)」の販売を7月15日より開始すると発表した。「Store-Box Plus」は、ファイルのアクセス履歴の取得やアクセス権限の設定、ウィルス・スパイウェア対策ソフト(ESET File Security)の実装、データバックアップ、UPS(無停電装置)などのセキュリティ機能がセットになったNAS。価格は、5年リースの4TBモデルで月額23,000円(税別)。買取の場合は120万円程度。ほかに8TBモデルもある。価格には、ハードウェア保守5年分、バックアップ用外付けHDD、バックアップソフトウェア、既存のNASからのデータ移行や導入後のサポートまで含まれている。同社では、従業員数が300名以下の中堅・中小企業を中心に本製品の提案を行っていく予定。
2015年07月15日富士通エフサスは7月9日、2015年10月の社会保障・税に関わる番号制度(マイナンバー制度)の施行に向け、同制度に対応した業務支援、安全管理措置対応に向けたサービスを提供開始すると発表した。各サービスの価格は個別見積もり。同社は、マイナンバー制度施行に先立ち課題を解決すべく、特定個人情報の適正な取扱いに関するガイドライン(以下、特定個人情報保護ガイドライン)を踏まえて、特定個人情報の収集・登録などの業務支援(常駐型など)を提供するとともに、セキュリティ強化施策を提案・実施する。「マイナンバー業務支援(オンサイト型)」としては、特定個人情報の収集・登録・保管といった一連の業務を顧客企業に常駐する(=オンサイト) ことで支援し、作業負荷軽減に貢献していく。同社施設を活用するセンター型の提供も予定している。今回の取り組みは、富士通が1月21日に発表した「FUJITSU BPOサービス マイナンバーBPOサービス」の1つに位置づけられ、富士通からの提供も予定されている。「安全管理措置対応のためのセキュリティ強化施策」としては、特定個人情報の適正な取扱いに関するガイドラインで定める安全管理措置6項目のうち、「組織的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の3つの観点から、セキュリティ施策を体系化し提案・実施する。
2015年07月10日EIZOは9日、タッチ検出方式に超音波表面弾性波(SAW)方式を採用した17.0型マイナンバー対応タッチパネルディスプレイを開発中であることを発表した。発売時期や価格は未定。開発を明らかにしたタッチパネルディスプレイは、タッチ検出方式に超音波表面弾性波(SAW)方式を採用する17.0型モデル。2016年1月から運用開始される「マイナンバー法案(行政手続きにおける特定の個人を識別するための番号の利用等に関する法律案)」に配慮したモデルになるという。役所など、不特定多数の人の目がある場所でマイナンバーを入力するケースを想定し、横から見た場合に画面が暗くなることで、文字などを読み取れないようにする仕組み。これにより、マイナンバーを入力する際に周囲から番号を覗き見られないようになる。なお、今回発表の液晶ディスプレイは、2015年7月15日~17日に東京ビッグサイトで開催される「国際モダンホスピタルショウ2015」で展示する予定。
2015年07月09日リコージャパンは7月8日、複合機用アプリケーション「マイナンバー申請ツール」の無償提供や、コンサルティングやセキュリティ対策などのソリューションなど、マイナンバー制度に対応する中堅・中小事業者向けのソリューション提供を強化すると発表した。マイナンバー申請ツールでは、社員番号をQRコードで印字した社員ごとの専用申請用紙を複合機から印刷、各従業員が申請用紙に個人番号を記入、各拠点の管理者が確認、複合機でスキャンして申請、という手順で個人番号の収集が可能。複合機を用いて申請作業が行なえるのに加えて、申請書には個人番号以外の情報を記入しないため、個人情報漏洩に関するリスクを低減するとしている。スキャンしたデータは自動的に申請者の社員番号をファイル名として保存するため、収集担当者が行なう人事システムへの個人番号の登録も簡単に行なえるという。同ツール自体は無償だが、設置指導料金が別途必要であり、対象機種はRICOH MP C8002/C6502/C6003/C5503/C4503/C3503/C3003/C2503/C1803シリーズとなっている(順次拡大予定)。この他、従業員自身が個人番号の通知カードや本人確認書類を複合機でスキャンして個人番号収集部門のデータ・ストレージ「RICOH e-Sharing Box」にダイレクトに登録するソリューションなど、ユーザー企業の状況やシステム環境に合わせた手段と運用を提案するとしている。同社が提供するマイナンバー制度対応の主なソリューションには、「基本方針、取扱規定等の策定」「取得」に関するソリューションとしてコンサルティングや「マイナンバー収集ソリューション」、「保管」「利用」「廃棄」に関するソリューションとして「情報漏洩防止/不正アクセス防止対策ソリューション」「保管・管理/廃棄ソリューション」がある。なお同社は、同ツールをインストールした複合機を、7月22日から23日まで東京国際フォーラムで開催予定の「Value Presentation 2015 東京会場」に出展する。
2015年07月09日日立製作所と日立システムズは7月6日、マイナンバー制度への対応に必要な業務をワンストップで代行する事業者向けの「マイナンバー対応BPOサービス」を発表した。価格は個別見積。7月7日から販売開始し、提供開始時期は10月1日。両社は2018年度末までに累計65億円の販売を目指す。新サービスは、同社グループが持つマイナンバー制度対応のノウハウを利用し、従業員などのマイナンバー収集・登録から廃棄までの管理、法定調書の印刷代行、ヘルプデスクまで、対応。日立が公共分野でのマイナンバー対応実績・ノウハウを基にIDデータ管理や帳票出力を行う「マイナンバー管理システム」を開発し、日立システムズが同システムを中核に自社のデータセンターやコンタクト・センターなどと組み合わせ、BPOサービスとして提供する。同サービスの利用により、事業者はマイナンバーの管理・運用体制・設備を最小限にでき、マイナンバー管理・運用業務にリソースを割くことなく本来業務に専念することが可能という。例えば源泉徴収票を提出する場合、事業者は、各従業員の支払金額など必要な情報を現行システムからデータを提供することで、その後のデータ照合や帳票への印刷、封入・封緘までの業務を委託でき、納品された源泉徴収票を各省庁へe-TAX(国税電子申告・納税システム)や郵送などにより提出するだけで手続きを済ませられるとのこと。現行業務やシステムを大きく変えることなく、リーズナブルなコストで同社グループと同等のセキュアなマイナンバー管理・運用体制を実現できるとしている。同サービスは、現行業務・システムを大きく変えない管理・運用、機密性の高い独立区画でのデータ登録、高セキュアなデータ管理、監査レポートの発行、きめ細かな問い合わせ対応窓口といった特長を持つ。現行業務・システムを大きく変えない管理・運用では、マイナンバー収集・登録から廃棄までの管理、法定調書の印刷代行、ヘルプデスクまでを代行。データ登録に関してはまず、マイナンバーの収集を、記入者の作業効率化と誤記載の抑止を可能とした「マイナンバー収集キット」を用い、信書として授受する。マイナンバーの授受が確実になされたことを確認するため、郵便物の追跡サービスにも対応する。収集した大量のデータは、日立システムズのBPOセンター内に設置した機密性の高い専用の独立区画においてOCRによる自動入力と目視での確認を併用してシステムに登録する。データ管理は、マイナンバーをインターネットと直接接続しない場所に設置した「マイナンバー管理システム」により、第三者が利用できないように高度な手法で暗号化したIDデータとして保存する。作業を行うスタッフの挙動はセキュリティ・オペレーション・センターでログを監視し、情報漏洩を防ぐ。マイナンバーを記載する必要のある申告書や法定調書の印刷代行や封入封緘作業、またシュレッダーによる書類廃棄なども日立システムズ内で一括して行うため、情報流出リスクを最小化できるとしている。監査レポートは、業務を委託する企業の監督義務に対応する特定個人情報保護評価書(全項目評価書)に対応したレポートを発行する。問い合わせ対応窓口は、管理者や従業員からの問い合わせに対して、マイナンバー制度に関する社内外の認定取得者や教育を受けた日立システムズのコンタクト・センターのスタッフが、きめ細かに対応するとのこと。
2015年07月07日NTTデータは7月6日、マイナンバー制度に対応する中小企業や会計事務所向けのソリューション「データ管理の達人」を発表した。価格は、Professional Editionのダウンロード版で1利用拠点あたり年間4万9,800円(税別)。販売開始は11月下旬。新ソリューションは、現在約1万3,000のユーザーが利用しているという税務申告書作成ソフト「達人シリーズ」の新ラインナップ。主な機能として、マイナンバーを含めた税務業務に必要なマスターデータ(基本情報)の管理・収集機能や達人シリーズおよび他社ソフトウェアとのデータ連携機能、データ・セキュリティの統合管理機能を備えており、達人シリーズのユーザーがマイナンバー法で求められている安全管理措置に対応しながら、安全かつ正確に税務業務を行うことができるとしている。同ソリューションのマスターデータ管理機能のうちマスターデータの登録/保管機能は、各種業務ソフトウェアの基本情報として必要となるデータを、簡単に登録して保管できるという。保管には「達人Cubeセンター」を利用し、データに強度な暗号化を施すことで、高いセキュリティ性を確保するとしている。マスターデータの収集等の機能では、マイナンバーを含むマスターデータの収集機能と、データの正確性を容易に参照・チェックできるとのこと。特に収集機能では、従業員や扶養家族の基本情報を、マイナンバー制度で求められる適切な管理に準拠しつつ事務所にいながら安全に収集可能になるという。既存の達人シリーズなどとのデータ連携機能では、同ソリューションが管理するマスターデータを、既存の達人シリーズなどの業務ソフトや給与計算など他社ソフトと安全かつ効率的に連携する仕組みを提供するとしている。この機能により、二重登録等の作業負荷を大幅に軽減できるとのこと。マイナンバー法では安全管理措置の1つとして、個人番号を取り扱う利用者を厳格に定め、アクセス制御を行うことを求めている。同ソリューションの業務ソフトウェア・データ管理機能のうちセキュリティ管理機能では、達人シリーズで作成した業務データに対して、利用者ごとの管理権限やアクセス可能範囲の詳細な設定が可能。またアクセスログ取得により、いつ・誰が・どのデータへアクセスしたかを監査できるという。また、データ管理機能では、達人シリーズで作成した業務データを統合的に管理可能であり、業務データに関する複製・外部へのエクスポート・インポートなどが可能とのこと。データベース管理では、達人シリーズで作成した業務データの保管用データベースを統合的に管理可能であり、データベースに関するバックアップ/リストア/コピー/ペーストが可能。同社は今後、既存の達人シリーズの暗号化強化やアクセス制御などマイナンバーに対応した機能強化や電子申告の新ラインナップ商品の追加、パソコン環境での情報拡散を監視するサービスの提供など、中小企業や会計事務所が迅速にマイナンバーの安全管理措置に対応した環境の整備が行えるソリューションを提供していく予定とのことだ。
2015年07月07日NECは7月3日、ICTシステムのマイナンバー対応を検討する中堅・中小企業向けに、既存の人事・給与システムのセキュリティを短期間で強化する「マイナンバー安心セット」を発売すると発表した。マイナンバーを含む個人情報は、「特定個人情報」として従来の個人情報以上に企業での厳格な取り扱い義務が課せられるが、「特定個人情報」を安全に管理するには、システム改修や多岐にわたるセキュリティツールを組み合わせるなどの対応が必要となる。中堅・中小企業では、ノウハウやシステム運用管理者の不足により、こうした対応を行ううえで多大な費用と時間が必要になるとして、同社は、短期間でのセキュリティ強化を実現する新製品で、この課題にこたえる。「マイナンバー安心セット」は、PCにログオンできる人を限定し、なりすましを防止する「顔認証ログオンセット」、データベースを監視して「いつ誰がアクセスしたか」を追跡できる「アクセスログ監視セット」、ハードディスクの暗号化とデータ消去ソフトウェアにより格納データの漏洩を防止する「データ暗号化セット」から構成される。「顔認証ログオンセット」は、ビジネスPC「VersaProシリーズ」「Mateシリーズ」、顔認証でPCログオンする専用ソフトウェア、データの持ち出し制御、盗難防止機器などをセットで提供し、これによりPCログオン時から離席時、ログアウトまで常時セキュリティを確保し「なりすまし」による不正利用を防止する。価格は34万2000円から(税別)。「アクセスログ監視セット」では、IAサーバ「Express5800シリーズ」とデータベースのアクセスログを監視する専用ソフトウェアをセットで提供し、これにより複雑なデータベースログを容易に監視、取得可能となり、人事・給与システムのデータベースに直接アクセスされた場合でも、迅速な原因究明ができる。価格は81万7600円から(税別)。「データ暗号化セット」では、ユニファイドストレージ「iStorageMシリーズ」と暗号化ディスク、ディスク内のデータを完全消去できる専用ソフトウェアをセットで提供し、これにより、万が一ディスクが持ち出された場合でも、データの読み取りを防止する。価格は99万8000円から(税別)。あわせて、独立系ソフトウェア開発会社(以下、ISV)との協業を推進する「パートナーズISVビジネスセンター」を新設し、中堅・中小企業に対し、セキュリティ強化をはじめとするソリューションを拡充していくことも発表された。その第1弾として、オービックビジネスコンサルタント(主力製品:奉行シリーズ)と、ピー・シー・エー(主力製品:PCA Xシリーズ)と連携する。
2015年07月04日NECは6月29日、同社グループ内におけるマイナンバー制度へ対応システムの取り組みを発表。その一環として、番号の収集・保管・運用を効率的かつ強固なセキュリティで実現するという一連のシステムを構築するとした。今回発表したシステムは、顔認証による入退室管理やSDN(Software-Defined Networking)を利用する「専用オペレーションルーム」、サイバー攻撃の常時遠隔監視などセキュリティ対策を実現した「個人番号管理システム」、画像認識技術で収集時の入力ミス低減とペーパーレスを推進する「スマートフォン用アプリケーション」などからなる。マイナンバーを扱う専用オペレーションルームは、サーバなどデータセンター内のシステムを管理する「専用マシンルーム」と共に、内閣府の外局である特定個人情報保護委員会が定めるマイナンバー・ガイドラインに対応の、物理的安全管理措置を構成する。専用オペレーションルームにはSDNを採用、マイナンバー取扱区域の変更や拡張時においても、柔軟にセキュアなネットワーク管理を実現するとしている。専用マシンルームでは、顔認証技術である「NeoFace」やICカードを用いた多要素認証による、高度なセキュリティの入退室管理を行う。また、情報の持出し制御や暗号化、アクセス管理により、内部からの情報漏洩を防止するという。個人番号管理システムは、従業員とその家族や個人事業主の、約20万人分のマイナンバーを格納可能であり、人事・給与システムのサブシステムとして構築、集中管理する。同システムに関しては、同社の標的型攻撃対策の専門家がリアルタイムに遠隔監視する「サイバーセキュリティ・ファクトリー」において、セキュリティを確保するとのこと。さらに、高度化・巧妙化が進む標的型攻撃に対して、情報とスピードを重視し、先読みして対策を打つ「プロアクティブサイバーセキュリティ」も実現するとのことだ。スマートフォン用アプリは、同社の画像認識サービス「GAZIRU」の画像認識技術を利用し、従業員などのスマートフォンや職場の共有タブレット端末でマイナンバーを収集可能なもの。同アプリでは、マイナンバーの通知カードなどが本物かどうかを画像で認識できる。また、マイナンバーをOCR機能により数値データとして読み取ることで入力ミスを軽減する「チェックデジット機能」を備え、番号が正しいかどうかを確認できるという。番号データは暗号化した上で、予め設定した同社のサーバに自動送信する。送信後はスマートフォンやタブレット端末からデータを自動的に消去することで、高いセキュリティを確保するとしている。さらに、マイナンバー収集に関するワークフロー・システムである「EXPLANNER/FL」(エクスプランナー・エフエル)を、社内イントラネットを利用する従業員向けに提供する。同システムではマイナンバー収集用の申請画面で、利用目的の通知・チェックデジット機能・暗号化などにより、正確性・安全性を重視した運用を行うとのこと。個人番号管理システムへのデータ出力後は、同ワークフロー・システムからマイナンバー情報を削除するという。これらにより、マイナンバーの入力ミスや送信先の間違いなどを防ぐと共に、通信経路などからの情報データの漏洩対策を行い、高い安全性を確保するとのことだ。
2015年06月29日アップリカ・チルドレンズプロダクツは今月下旬に、ベビー用品ブランドGRACO(グレコ)よりサンリオのキャラクター「マイメロディ」とコラボレーションしたベビーカー「グレコ シティライト R アップ」とジュニアシート「グレコ ジュニアプラスDX」を発売する。○リボンとたれ耳がとってもキュート!同商品のコンセプトは「"ぬいぐるみ"のようなかわいらしさ」。ベビーカーのヘッドサポートは同キャラクターの顔に、幌は起毛素材を採用。また、シートの上部には、リボンやたれ耳を配した。「シティライト R アップ」は、地上から52cmのハイシート。従来品の250%と大容量の下カゴは、収納力32リットル、積載重量が5kg。フルカバーの日よけなどが付き、重量は5kg。使用期間は生後1カ月から3歳頃までとなる。オープン価格。「ジュニアプラスDX」は、ヘッドレストが6段階、アームレストは2段階の高さ調整が可能。使用期間は、3歳頃から11歳頃までと長く使用できる設計となる。また、飲み物などが入れられる収納式のカップホルダーを装備している。オープン価格。
2015年06月25日TKCは6月25日、同社が提供する給与計算システム「PXシリーズ」のオプションとして、企業が従業員等から収集したマイナンバーを暗号化したのち同社のデータセンターで保管するクラウドサービス「PXまいポータル」を、11月より提供すると発表した。PXシリーズの利用が前提となる。「PXまいポータル」は、社員が本人とその扶養家族のマイナンバーを含む扶養控除等申告書の情報をスマートフォンやパソコンから直接入力するとともに、本人確認資料として、通知カード、個人番号カード等の画像ファイルを添付してデータセンターへ送信するもの。企業の給与事務担当者は、本人確認をデータセンターに保管されているマイナンバーおよび画像データで確認できるほか、社員は給与や賞与の明細書や源泉徴収票等をスマートフォンなどで閲覧できるようになるという。提供価格は個々の契約内容によって異なるという。
2015年06月25日クロス・ヘッドは6月24日、法人向けセキュリティソリューションを提供するソフォスとゴールドパートナーとして、販売契約を締結した。両社は、主にミッドレンジマーケットに向けて、マイナンバー導入時に包括的なICTセキュリティ対策強化を可能にする「マイナンバー時代のセキュリティ対策ソリューション」を提供する。今後ミッドレンジの顧客を中心に、オンプレミスシステムをパブリッククラウドへ移行するにあたってのセキュリティソリューションを包括的に提供する方針だ。クロス・ヘッドは、ソフォスと提携することで、セキュアなネットワークインフラ構築からエンドポイントセキュリティ対策、データ保護対策の導入、サポートまでをワンストップで提供していく。今回提供されるパッケージの例としては、「ソフォスゲートウェイパック」と、「ソフォスセキュリティスタートアップパック」の2種類が挙げられる。まず、「ソフォスゲートウェイパック」は、ソフォスのWi-Fi-AP付きUTMハードウェアアプライアンスである「SG105W」に対し、フル機能のライセンス、オンサイト設置作業、オンサイト機器交換サービス(平日9時-17時)をバンドルしたもの。外部からの攻撃を防止するファイアウォール機能やWEBプロテクション、Wi-Fiプロテクション、VPN終端機能により、外部からの攻撃を防止できる。価格は、24万8000円(税別)から。「ソフォスセキュリティスタートアップパック」は、「ソフォス ゲートウェイパック」に加え、エンドユーザープロテクションライセンスを20本、サーバープロテクションライセンスを2本セットにしたもの。サーバープロテクションは、フルファンクションのアンチウイルス機能に加え、 Lockdown機能を搭載する。これにより、利用可能なアプリを限定する事が可能となり、悪意のあるアプリケーションの起動を抑制する。また、エンドユーザープロテクションにはフルファンクションのアンチウイルス機能に加え、外出先からのVPN接続機能とスマートフォン等のモバイルデバイス管理(MDM)機能も利用可能となる。なお、同パッケージは、クラウドライセンスとなっているため、管理サーバーを用意する必要がなく、初期コストを削減できる点も特徴だ。価格は、45万円(税別)から。
2015年06月25日中堅・中小企業の情報システム担当者でマイナンバー制度への対応の必要があることを知らない人は2割に上り、実際に対応を進めている企業は6%にとどまっている実態が、スターティアが6月23日に発表した調査結果でわかった。同調査は、20歳から59歳までの経営者・役員・会社員54,058人(有効回答:7,293人)を対象に、6月1日から6月3日にかけて実施したもの。調査において、マイナンバー制度の認知度を尋ねたところ、「言葉を知っており、制度内容を把握している」という回答者は36.8%にとどまり、「言葉を聞いたことがあるが、制度内容はあまり知らない」が54.1%に上った。「言葉を初めて聞いた」という回答も9.2%あった。従業員数300人以下の中堅・中小企業に勤務し情報システムを担当している回答者816人に対して、マイナンバー制度の施行に伴い勤務先の企業も対応の必要があることを知っているか尋ねると、「知っていた」とする回答が77.8%を占めた半面、「知らなかった」とする回答が22.2%あった。マイナンバー制度が自社に影響を及ぼすことについて、企業の情報セキュリティを担当する情報システム担当でも完全には認知していないと、同社は分析する。同じく中堅・中小企業の情報システム担当者に、情報システムでマイナンバー制度への対応準備を進めているか尋ねたところ、「既に対応を進めている」との回答は6%にとどまった。従業員規模が大きくなるほど対応を進めている企業が増え、従業員数が101人から300人以下の企業では13.5%だったという。さらに、中堅・中小企業の情報システム担当者にマイナンバー制度で予定している具体的な施策を尋ねると、「セキュリティの強化」が最も多く、以下「人事給与システムの改修・見直し」「社員教育実施」と続いた。同社によると、同調査の実施時期は年金情報漏洩報道があった直後だったため、セキュリティ意識がいっそう高まった可能性があるとしている。
2015年06月24日○「個人番号関係事務実施者」とは?前回は、マイナンバー制度とはどのような制度なのか、その概要と今後のスケジュールを整理してみてきました。マイナンバー制度のなかで中小企業は「個人番号関係事務実施者」という役割をおうことになります。今回は「個人番号関係事務」とはどのような事務なのか、それを行う「個人番号関係事務実施者」に求められる役割などをみていきます。○個人番号関係事務実施者とはマイナンバー制度では、1人でも従業員を雇用している事業者であれば、自分以外のマイナンバーを取り扱うことになります。特定個人情報保護委員会の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「ガイドライン」)では、従業員を有する事業者、中小企業が、他人のマイナンバーを取り扱うことを、個人番号関係事務と呼んでいます。具体的には、従業員などのマイナンバーを源泉徴収票や健康保険・厚生年金保険被保険者資格取得届などの書類に記載して、行政機関や健康保険組合などに提出する事務が、個人番号関係事務に該当します。そして、この事務を行う事業者や担当者および事業者の委託を受けて個人番号関係事務を行うものを、個人番号関係事務実施者と呼んでいます。小規模な事業者であっても、法で定められた社会保障や税などの手続きで、従業員などのマイナンバーを取り扱うことになりますので、すべての中小企業が個人番号関係事務実施者となります。小規模な事業者は、個人情報保護法で定める義務の対象外ですが、番号法で定められる義務は規模にかかわらず、すべての中小企業に適用されることになります。○個人番号関係事務を適正に実施するために知っておくべきこと個人番号関係事務を適正に実施するためには、番号法や「ガイドライン」で示されている「してはならないこと」「しなければならないこと」をきちんと確認しておくことです。この回では、「してはならないこと」を中心に知っておくべきことを整理してみましょう。○マイナンバーの利用制限マイナンバーの利用範囲は、法律に規定された社会保障、税および災害対策に関する事務に限定されています。一般の中小企業の場合は、社会保障および税の分野に限定されていると考えれば良いでしょう。個人情報保護法では本人の同意があれば、他の用途に個人情報を利用することができましたが、マイナンバーはたとえ本人の同意があっても、社会保障および税の事務以外で利用することはできません。たとえば、社員番号にマイナンバーを流用することはできません。○マイナンバーの提供の求めの制限、収集制限利用に制限がありますので、従業員などにマイナンバーの提供を求め、収集する場合も、社会保障および税の事務を利用目的とする範囲でしか、提供を求めることおよび収集することはできません。前項の例のように、社員管理のためにマイナンバーの提供を求め、収集することはできません。○マイナンバーの提供制限中小企業がマイナンバーを提供できるのは、社会保障および税に関する事務のために従業員などのマイナンバーを行政機関や健康保険組合などに提供する場合に限られます。たとえば、系列会社間で従業員が出向などで移動した場合に、系列会社間でマイナンバーを提供することはできません。この場合、出向先の会社は改めて本人にマイナンバーの提供を求め、収集しなければなりません。○マイナンバーの保管(廃棄)制限マイナンバーは社会保障および税に関する事務を処理するために収集、保管するわけですから、それらの事務を行う必要がある場合に限り、保管し続けることができます。継続的な雇用契約がある場合、従業員などから収集したマイナンバーを源泉徴収や健康保険・厚生年金保険などの関連事務で翌年以降も継続的に利用することが予定されますので、継続的に保管することができます。ただし、講演や原稿などを依頼し、支払調書を作成するために、講演者や原稿の執筆者から提供を受けたマイナンバーは、翌年以降同じ講演者や執筆者に依頼する予定がない場合は、継続的に保管することはできません。こうしたケースでは、必要がなくなったマイナンバーをできるだけ速やかに廃棄しなければなりません。○番号法の罰則規定「ガイドライン」では、「しなければならない」および「してはならない」と記述されている事項について従わなかった場合、法令違反と判断される可能性があるとしています。法令違反と判断されると、罰則が科される可能性もでてきます。番号法では、個人情報保護法よりも罰則の種類が多く、法定刑も重くなっているので注意が必要です。番号法で規定されている罰則には、国の行政機関や地方公共団体の職員などを対象にしているものと、民間事業者や個人を対象としているものがあります。下の表は民間事業者や個人を対象としている罰則規定と対応する法定刑を整理したものです。(内閣官房よくある質問 (FAQ)より)この中でも最も重い法定刑のものは、個人番号利用事務、個人番号関係事務などに従事する者や従事していた者が、正当な理由なく、業務で取り扱う個人の秘密が記録された特定個人情報ファイル(※)を提供するケースで、4年以下の懲役または200万円以下の罰金となっています。また、前項で取り上げた制限事項を守らず特定個人情報保護委員会の命令を受け、それに違反したケースでも2年以下の懲役または50万円以下の罰金となっています。個人番号関係事務実施者となるすべての中小企業では、限られたリソースのなかでマイナンバーを取り扱うことになりますが、罰則の適用を受けるような事態を避けるためにも、マイナンバー制度への対応をしっかり準備していかなければなりません。特定個人情報ファイル:個人番号をその内容に含む個人情報ファイル(個人情報データベースなど)著者略歴中尾健一(なかおけんいち)アカウンティング・サース・ジャパン株式会社取締役1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。
2015年06月22日ペンタセキュリティシステムズ(ペンタセキュリティ)は6月17日、「マイナンバーを守るための対策、最も根本的なセキュリティ論点」と題するコラムを公開し、マイナンバーにおけるセキュリティの疑問およびアクセス制御と暗号化における論点を解説した。マイナンバー制度のセキュリティについては、「マイナンバーを暗号化すれば、対策は完璧」「暗号化しておくと、そのあとの取扱いは気にしなくていい」と感じている人が多いという。コラムでは、この点が大きな間違いであることを指摘している。それは、データを暗号化してもデータ管理における厳密度は下げてはいけないというルールがあるためだという。また、「特定個人情報保護委員会」より公表されているガイドラインでは、暗号化などを採用して変換された個人識別番号に対し、変換前の個人識別番号と同レベルで取り扱うようと記されているという。「マイナンバー保護の最大のリスクはが何か」疑問に思う人も多いだろう。複雑化されたマイナンバー制度において何が最大のリスクか、一概に言い切れないが、その1つに個人情報を取り扱う現場レベルでは「マイナンバーには、誰がアクセスできるのか?」という点が挙げられるという。企業で従業者に情報へのアクセス権限を付与するのは、多くの場合「システム管理者」か「データベース管理者」である。同社はその点でセキュリティの運用を危惧している。システム管理者は、組織におけるシステムの運用および管理に従事し、データベース管理者は、当該データベースにおける運用や各種問題への対応に従事している。そのため、これらの担当者らは、セキュリティで求められる個人情報にアクセスする権限を持たせる必要もなければ、アクセスする必要自体もない。それでもシステム管理者とデータベース管理者は、つまり個人情報へのアクセス権限を設定し運用している場合が多い。「システム管理者だから」という単純な論理で、セキュリティ管理者でもないシステム管理者が組織のセキュリティポリシーを総括する大役を背負うケースも珍しくないという。同社は、これこそが実際現場レベルで引き起こされる個人情報保護における最大のリスクであると指摘している。データベース管理者のDBA(Database Administrator)もセキュリティ管理者との明確な職責分離を実現しなければならない。暗号化したデータは、許可されたユーザーのみがアクセス可能にすべきであり、全権限を持っているDBAでも、セキュリティ管理者からの許可がなければ暗号化データの復号はできないようにすべきであると明言している。情報セキュリティ業界において「セキュリティはチェーンのようで、このチェーンの強度は、最も弱い部分の強度で決まる」と言われることが多い。これは、情報セキュリティ全体を構成するすべての要素が高レベルで維持することが不可欠だということを表している。つまり、システムのセキュリティのレベルは、最もセキュリティのレベルが低い部分によって評価されてしまうため、そこを攻撃されると、システムの全体がダメになってしまうというわけだ。同社は、個人情報の保護における最も弱い部分はDBAとセキュリティ管理者の職責分離と指摘している。○アクセス制御はデータベースの管理者を新設する必要がある「個人情報に対しアクセス制御を行っていれば、すべての問題が解決されるのか?」と言われれば、一概にそうとも言い切れない。代表的な情報セキュリティの手法には「暗号化」と「アクセス制御」の2つがある。暗号化とアクセス制御はセキュリティのアプローチが明確に異なるため、両者は相容れない存在となっているという。アクセス制御のソリューションのベンダーは、当然ながら暗号化と比べてアクセス制御のほうが優位であると主張する。アクセス制御は、暗号化に比べて、構築および導入の簡単さからシステムの可用性が高く、アカウント別に情報へのアクセス権限を付与又は遮断することで、情報漏えい事故を未然に防ぐ効果があるというのが言い分だ。しかし、システムおよびネットワークのパフォーマンスに与える影響の面で暗号化と比較しているだけで、安全性の論点とは少しずれている。コラムでは「セキュリティの面では、暗号化のほうが優位にあるという逆説ではないかとも思えるし、事実上そうでもある」と主張している。一方で暗号化ソリューションのベンダーは、暗号化はアクセス制御に比べて高セキュリティを保障できると自信を見せている。万が一、情報漏えい事故が発生しても、データが暗号化されていれば、第三者が解読することは原則できない。暗号化は、過去にデメリットがあったという。長い構築期間や暗号化後のパフォーマンス劣化が懸念されており、とりわけパフォーマンスやシステム安定性が強く求められる金融業界では、暗号化前後のパフォーマンスの劣化を予測できないということから、暗号化の導入をためらってきた経緯があった。現在は、これまで指摘されてきたシステムの可用性の問題を解決できたとしており、金融機関のような現場に次々と導入されているという。アプライアンス型の導入によるハードウェアとソフトウェアの一体型にてデメリットとして指摘されていたスピードの問題まで解決した。その結果、現在は「暗号化は、セキュリティ的には高いと思うが、スピードが出ない」とは言えなくなった。アクセス制御のセキュリティは、以前からの弱点が継続しているという。アクセス制御システムの構築は、データの存在する内部システムではなく、外部システムとして行うが、それは、事実上もう1つの管理権限を作ることになってしまう。マイナンバーデータに対してセキュリティ管理者を指定することではなく、データベースのアクセス制御のための管理者を新設しなければいけないため、根本的な対策にはなっていない。なお、アクセス制御にて指定したパス及び条件に該当しないアクセスの場合、対象外となる場合もある。○個人情報は「漏れるもの」と考えたほうがよい情報セキュリティ対策では「情報が最初から外部に漏出しないこと」を前提としたほうがよい。情報漏えいを抜本的に遮断するためにあらゆるソリューションを採用し対策を講じても、絶えずに大規模な情報漏えい事故は発生しており、深刻な問題を抱えている単なるリスク管理の論理であるというしかない。現状のセキュリティの技術は万全ではない。そのため「情報を完全に防ぐことができない」「情報は漏出するもの」と考えたほうがいいという。もちろん、セキュリティベンダーは日々セキュリティ技術の向上に努めているが、それでも情報漏えいを完全に防ぐソリューションを提供できてはいない。セキュリティ対策を考えるだけでなく、万が一漏えいしてしまった時のために、その後の「回復力」も重要だという。これは、情報漏えいの影響を最小限に抑え、日々の業務状態に戻すまでがどれだけ短時間で内部および外部に影響を与えないかがポイントとなる。暗号化は情報漏えいが起きてしまった場合でも、情報を安全に保護できる唯一の方法である。情報が漏えいしても第三者には中身を読み取れない。注意しなければいけないのは、暗号化したデータと暗号化・復号鍵を盗まれたら、暗号化の意味がなくなってしまう点だ。暗号化をするなら「鍵管理」の想定を求められる。暗号化システムは、誰が暗号化・復号の鍵を持つのかを指定することで、情報へのアクセス権限を管理できる。つまり、鍵管理が適切に行われているのであれば、アクセス制御のソリューションのベンダーが主張している部分はすべて解決できるという。データ暗号化を前提とし、セキュリティ管理の一環としてアクセス制御ソリューションを併用する方法は考えられる。市販のデータ暗号化製品の中で、セキュリティに関する正確な概念を持って設計されているソリューションの場合は、データベースおよび暗号化されたカラム単位でアクセス制御を設定できるインタフェースがすでに実装されているため、個別にアクセス制御ソリューションを追加で構築する必要がなくなる。また、暗号化システムを構築すると、組織全体におけるデータ管理のプロセスが変わる。こうした変化は、開発プロセスにも影響を与え、データの生成・共有・廃棄というデータのライフサイクル全体における暗号化・復号の鍵をどのように管理するのかを考えないと行けない羽目になる。これは、ポジティブに受け入れるべきであり、データの処理プロセスはもちろん、開発プロセスまで一段階ランクアップするきっかけになるからである。このようなことを既に経験している数多くの海外の企業は、暗号化導入後の満足度が高いと評価しているという。
2015年06月19日理経は6月17日、同社が販売代理店を務めるアグリーメントの経営管理ソリューション「Attack Board」のマイナンバー対応パッケージ「My Attack Board」の受注を開始したと発表した。「My Attack Board」は、WebブラウザでExcelの配布・収集、集計までのプロセスを自動化する「AttackBoard」の技術を応用して、マイナンバー制度の対応で求められるシステムのガイドラインに準拠した機能を実装したもの。既存の人事給与システムにアドオンすることで、マイナンバーの対応を実現する。主な特徴として、「内閣府ガイドライン準拠の安全管理を実現している点」「既存の人事給与システムを利用できる点」などがある。「My Attack Board」では、Webより入力されたマイナンバーや確認用画像などをサーバ側で暗号化し格納し、マイナンバーへ12ケタの複数の桁を追加した後に暗号化し格納。給与データなどが送られていた場合のみ、特別な符号で本人の給与データとマイナンバーをマッチングして帳票へ付与し、出力ないし該当機関へのデータ送信を可能にする。サーバは利用権限を持つ管理者のみ利用できるよう制限する。作業者はExcelから入出力が可能で、ERPや既存システムと連携・統合も可能。ソフトウェアの価格はライセンス買い取り版が9万8000円から(30ユーザー)、年間サブスクリプションライセンス版が年間3万円から(30ユーザー)からとなっている。
2015年06月18日スターティアは6月16日、同社の法人向けオンライン・ストレージ・サービスである「セキュアSAMBA」において、マイナンバー利用向けの新プランである「マイナンバープラン」を提供開始した。料金は月額5,000円(税別)。同社は、法人向けオンライン・ストレージの利用で高いセキュリティを維持しつつ社外との情報共有が可能であり、マイナンバー制度の施行に伴い法人向けオンライン・ストレージの需要が増加すると見込んだことから、新プランの提供を決めたという。同プランは、従来のプランと比べてディスク容量を20GBから10GBに抑えたものの、マイナンバー制度の施行後に税理士や社会保険労務士(社労士)など外部の専門家との情報共有が増加すると予測し、従来は5ユーザーだった利用可能ユーザー数を10ユーザーまで増加した。ファイルをオンライン・ストレージ上で共有することで、メールを使わずにデータの受け渡しを行うことができ、またファイルを誰が閲覧・編集を行ったなどの履歴の取得が可能になるため、高いセキュリティを維持しながらマイナンバーの管理が可能になるとしている。
2015年06月17日ミロク情報サービス(MJS)は6月15日、会計事務所や中堅・中小企業におけるマイナンバー制度(社会保障・税番号制度)への対応を支援するためとして、マイナンバー管理システムである「MJSマイナンバー」(オンプレミス版/クラウド版)を開発したと発表した。提供開始は2015年9月。価格は、オンプレミス版のスタンドアロン版が10万円(税別)から、クラウド版が月額2,000円(同)から。新システムは、マイナンバー情報を取得・保管・利用・廃棄する上において、セキュアな環境下での適正な取り扱いを支援するためのもの。税務システムや給与システムなどの業務システムとの連携により、税務申告書や源泉徴収票、支払調書などの帳票にマイナンバーを印字して出力することが可能になるという。また、同社の各種セキュリティ製品との組み合わせで、より高度なセキュリティ環境の構築を可能にするとしている。同システムは、オンプレミス版とクラウド版の2形態で提供。マイナンバーを自社で保管したくないユーザー企業はクラウド版を選択すると、アクセス認証とSSL暗号化通信によるセキュリティ環境のもとでマイナンバーを保管・運用できるという。オンプレミス版の税別価格は、スタンドアロン版が10万円から、LAN版が20万円から。別途ハードウェアや、導入支援サービス料およびソフト保守料が必要。クラウド版である「MJSマイナンバーCloud」の税別料金は、初期費用が3,000円、月額費用が1法人・従業員50人未満の場合で2,000円から。同システムには、マイナンバーの暗号化保存から各機能のアクセス権限管理、マイナンバーのアクセスログ管理、退職者などの削除アラート通知など、安全管理措置への対応を支援する各種機能が搭載されているとのこと。同社が提供する情報漏洩対策アプライアンスである「SOXBOX NX」やウイルス対策ソフト、ファイアウォール機器の利用により、より高度なセキュリティ環境を構築できるという。また、人事部門などのマイナンバー収集に関する負荷を軽減するため、従業員などが直接マイナンバーを入力・申請できる「マイナンバーのセルフエントリー機能」を、オプション・システムとして用意。さらに、同社の各種業務システムとの連携により、税務申告書や源泉徴収票、支払調書を始め、マイナンバーの印字が必要な各種帳票の出力が可能とのこと。マイナンバー関係の運用方針や取扱規定の策定などに関するコンサルティング・サービスや、マイナンバーの収集・管理などを受託する「マイナンバー登録・管理代行サービス(BPO)」も提供する予定だ。
2015年06月16日アカウンティング・サース・ジャパンは6月15日、同社が提供中の税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」の標準機能として、マイナンバーの収集・保管をクラウド上で提供する新サービス「マイナセキュリティ」を、8月上旬から提供すると発表した。機能追加の料金は不要で、A-SaaSを利用していない顧客にも無料で提供するという。2016年1月の「マイナンバー」利用開始を控え、2015年10月5日よりマイナンバーの配布が開始されるが、中小企業では対応に頭を悩ませているのが現状。日経BPコンサルティングが行ったアンケート調査によれば、マイナンバー制度の相談相手としては、士業(税理士、公認会計士、社会保険労務士、中小企業診断士など)が最も多かったという。そこで同社では、A-SaaSにマイナンバーをクラウド上で提供する「マイナセキュリティ」を提供する。同社 代表取締役社長 CEO 佐野徹朗氏は「士業の方にマイナンバーの情報が一気に集まってくるので、士業の方がマイナバーに関して理解していなければならない。今回のサービスは士業の方のマイナンバーのリスクや不安を一気に解決するものだ」と説明する。税理士事務所は「マイナセキュリティ」を利用して、顧問先企業の従業員に固有のIDを発行し、顧問先企業の従業員はそのIDから管理画面にログインして、直接マイナンバーを入力する。入力されたマイナンバーは、「A-SaaS」クラウド給与システムや税務システムと連動する。税理士事務所は「A-SaaS」クラウド税務システムと「マイナセキュリティ」の両方を利用することで、手元にマイナンバー情報を持つことなく、クラウド上でシームレスに源泉徴収票、所得税など電子申請・電子申告をすることが可能になるという。同社では、今回のサービスがA-SaaS業績向上のきっかけになると考えており、佐野氏は、「マイナセキュリティが大きな転機になり、中小企業の方にわれわれのサービスを理解してもらえ、業績も飛躍的に伸びるだろう。中小企業がクラウドの価値を理解し、一気に浸透する大きな機会になる」述べ、A-SaaSの契約事務所数を現在の1,800から、1年後には少なくととも3,000にはできるとした。また、同社 取締役 マイナンバーエバンジェリストの中尾健一氏は「企業がセキュリティレベルを上げ、マイナンバーに対応することは難しい。われわれの今回発表したサービスは「持たない」ソリューションだ。従業員本人が入力し、そのままクラウドに保存されるので、事業主は「持たない」安全・安心の管理を実現できる」と述べた。なお、マイナセキュリティでは、免許証のコピーなど、本人確認書類を保存する機能や、健保など、他のシステムにデータを渡す機能も備える予定だという。
2015年06月16日野村総合研究所(NRI)は6月11日、マイナンバー管理サービスを提供するにあたって、内閣府が定めた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に準じた、ISAE3000保証報告書を受領できるよう、取り組み体制の整備を始めたと発表した。同社は2016年1月から、金融機関や事業会社を対象顧客としたマイナンバー管理サービスの提供を予定しており、それに備えて報告書の受領を推進。外部監査に基づく報告書の受領により、独立した第三者から安全管理措置に関する評価が得ることができる。ガイドラインでは、定期的な点検や監査などの実施により、企業が特定個人情報の取り扱い状況を把握することを求めており、また、特定個人情報の取り扱いに係る事務の一部を外部に委託した場合は、委託元の企業が委託先の特定個人情報の取り扱い状況を把握することを求めている。委託先企業が報告書を受領している場合は、当該報告書で安全管理措置の整備状況や運用状況が確認できるため、委託元企業による委託先企業の評価に係る作業負担の軽減が期待できる。同社は2015年度下期にあらた監査法人から監査を受ける予定で、2015年末に安全管理措置のデザインに関する報告書(基準日時点における統制のデザインについての評価)を、また2016年末には安全管理措置のデザインおよび運用状況に関する報告書(特定の期間を通じた統制の運用状況についての評価)を受領することを目指している。
2015年06月12日エプソンは6月10日、2016年1月より開始されるマイナンバー制度に対する会計事務所向け支援サービスとして、会計システム「R4シリーズ」のマイナンバー制度への対応を2015年10月より順次開始すると発表した。マイナンバー制度に対応するために、「R4シリーズ」では専用のデータベースを用意し、個人番号・法人番号の一元管理と専用のアクセス権限を設定。これにより、日本税理士連合会発行のマイナンバーガイドブックに即した、マイナンバーの収集から破棄までの運用を支援するという。マイナンバーの安全運用を実現する専用データベースでの対応内容として、次の3点が挙げられている。マイナンバーの一元管理と暗号化マイナンバーの取り扱い権限管理とログ管理個人番号の廃棄リスト・アラート表示「R4シリーズ」では、各アプリケーションに標準搭載される統合管理機能「Eiボード」内にマイナンバー専用のデータベースを用意し、一元管理する。さらに、個人番号をサーバーに格納する際には、暗号化(CRYPTREC 暗号ソフト)処理によるセキュアなデータ管理を行うことで、事務所内での安全管理・運用を支援。また、システムのユーザー権限とは別に、マイナンバー専用の取り扱い権限設定が可能で、マイナンバー取り扱い権限がある場合のみ、帳票出力・電子申告・申請が可能となる。取り扱い権限がない場合は、帳票や画面などにマスキング処理がなされ、個人番号が表示されない。マイナンバーに関する処理を行った際には、ログ管理で利用履歴を把握し、日本税理士連合会の雛形に準じた「特定個人情報ファイル管理簿」を作成することができる。さらに、個人データの関与終了日を入力することで、廃棄対象リストやアラートを表示し、データの消し忘れを防止することにより、確実な廃棄処理ができる。個人番号廃棄時には、ログとして記録保持し、顧問先提出用の「個人番号廃棄証明書」を発行することが可能。同社では、マイナンバー制度導入にあたり、会計事務所として取り組まなければならないポイントや、「R4シリーズ」のマイナンバー管理・運用方法および情報漏洩対策などについて説明する「税理士のためのマイナンバー実務対応セミナー」を、2015年6月から主要エリアで順次開催する予定だ。
2015年06月11日クラウド会計ソフト・クラウド給与計算ソフトを提供するfreeeは6月10日、マイナンバー制度の開始に備え、クラウド上でマイナンバーを管理できるサービス「マイナンバー管理 freee」の事前登録を開始した。同サービスは、マイナンバーの収集から保管、完全破棄までをオンライン上で一元的に行うことができるサービスとなっている。給与計算ソフトと完全連携したマイナンバー管理サービスとして提供される予定だ。同サービスによって、経営者や税理士などは従業員や顧客とマイナンバーを受け渡したり、自社内で保管したりする必要がなくなり、これまで通りに業務を行うことが可能となるという。リリースは今冬予定となっており、価格は月額980円を予定。「給与計算 freee」を利用している場合は無料だという。個人事業主や中小企業、税理士などの士業の方が対象となっている。なお、事前登録特典として、「マイナンバー管理 freee」リリース時に登録なしで利用できるほか、マイナンバーガイド、マイナンバーに関する情報・同サービスに関する情報などを受け取ることができる。
2015年06月10日キヤノンマーケティングジャパン(キヤノンMJ)は6月9日、社会保障制度・税に関わる番号制度(マイナンバー制度)に対応したソリューション事業を、グループ各社と連携し展開することを発表した。マイナンバーの本人確認書類を電子化する「収集・管理ソリューション」や、マイナンバーの業務プロセス構築の支援や業務運用を受託する「コンサルティング・BPO サービス」を6月22日より順次開始するという。2016年1月から施行されるマイナンバー制度により、すべての民間企業は従業員の給与や健康保険、厚生年金などの手続きのため、本人や家族のマイナンバーを収集して管理する必要がある。また、マイナンバーを取得、保管、利用、廃棄するプロセスで、特定個人情報保護委員会より定められた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に準じ、ルールや運用体制の整備、情報の漏えいや不正使用防止などの安全管理措置が義務づけられている。これに伴い、給与や経理などの既存システムとマイナンバーをひもづける仕組みやセキュリティの強化など、企業は改修や導入などの対策が必要となっている。キヤノンMJグループでは、このガイドラインに対応した製品やサービス、ソリューションを体系化し、「ハードウエアソリューション」「収集・管理ソリューション」「セキュリティソリューション」「コンサルティング・BPO サービス」の4つの分野でマイナンバー制度に対応したソリューションを提供していくという。9月から発売予定の「収集・管理ソリューション」では、ICカード認証で個人を特定しながら個人番号や本人確認書類を複合機でスキャン、電子化し、暗号化されたイメージデータをクラウド上のストレージやサーバに格納、そのデータと給与管理システム上のマイナンバーを照合することで、個人番号や本人確認を簡単に行えるとしている。6月22日からサービス開始予定の「コンサルティングサービス」では、コンサルタントがマイナンバー制度に関わる対象業務を洗い出し、課題抽出や解決策、新業務プロセスの構築や運用人員体制の構築などを支援するという。「BPOサービス」では、サービスセンターで業務運用を代行するサービスと顧客常駐型で代行する2パターンのサービスが用意されている。キヤノンMJは、マイナンバーソリューションの提供企業である、キヤノンシステムアンドサポート、キヤノンITソリューションズ、キヤノンビズアテンダ、スーパーストリームとともに、グループ全体で2016年にマイナンバーソリューション関連事業で売上高50億円を目指すという。
2015年06月09日コニカミノルタビジネスソリューションズ(コニカミノルタ)は6月5日、複合機やスマートフォンから情報を入力可能な「マイナンバー収集サービス」を発表した。10月から提供開始する。新サービスは、個人番号収集の際の作業負担を軽減し、安全に保管するためというもの。従業員自らが必要な情報を入力すれば自動的にデータを収集でき、その情報は安全に管理するというクラウド上に保管するため、一連の作業に携わる部門の担当者の負担を軽減できるとしており、情報管理の上でも有効としている。情報の入力作業は、専用ソフトが対応する同社製の複合機または、スマートフォンから可能とのこと。同社が提案するフローでは従業員が自ら同社の複合機やスマートフォンなどを利用して登録するため、情報を容易にシステムへ取り込み可能であり、事業者にとって最も負担が大きい個人番号の収集作業を省力化できるという。複合機を利用する場合は、専用ソフトのガイドに従った操作で情報を取り込むことができ、スキャンした画像の品質も一定になるとのこと。スマートフォンを使う場合は、必要書類を撮影し専用のWebサイトで登録する。同サービスでは、従業員が自ら必要な情報を入力すると自動的に取得するため、紙を使った情報収集などアナログの作業を削減でき、情報収集の段階で発生しがちな転記間違いなどの人的ミスや紙の廃棄時における情報漏洩などの可能性を最小限に抑えられるとしている。また、専用のWebサイトからCSV形式でデータを取り出し可能であり、既存の人事システムとの連携も容易とのことだ。収集したデータはクラウド・サービスに保存するため、最新の設備を低コストで使用でき、運用保守費用も抑制可能という。データは安全に管理した状態で保管、運用管理システムとの組み合わせやログ管理により情報漏洩の防止対策にもなるとしている。
2015年06月08日○マイナンバー制度はすべての中小企業に影響がありますTVCMなどでも紹介されているマイナンバー制度。個人レベルではさまざまな利便性がもたらされると案内されています。また、今国会では、マイナンバーの民間利用を進める法案が審議され、2018年からの開始を見すえた報道も増えてきました。その一方で、マイナンバー制度が中小企業にどのような影響をおよぼすかについては、まだまだ周知されているとはいえない状況です。いろいろな機関から発表されている事業者のマイナンバー制度対応についての調査からは、大企業はすでに準備を始めている様子がうかがえますが、中小企業については、マイナンバー制度への理解も含めて、これからといった現状が見て取れますマイナンバー制度は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「番号法」 2013年(平成25年)5月31日公布)により成立した制度です。法律名にあるとおり、行政手続においてマイナンバー、すなわち個人を識別するための番号(以下、個人番号)を利用することになるわけですが、事業者がどのように関わることになるかの理解が進んでいないため、中小企業では、準備が進んでいないのではないでしょうか。今年末から使用することになる「平成28年分 給与所得者の扶養控除等(異動)申告書」の、現時点で国税庁から公表されている書式(図1)では、給与所得者であるサラリーマンなどの従業員本人はもちろん、扶養親族の各氏名欄に個人番号を記入する欄が追加される予定です。この書類を集めることになる中小企業では、法律で規定されたルールを守って雇用者の個人番号を取り扱う必要があります。つまり、個人情報保護法では、扱う個人情報の数により規制の対象とならなかった中小企業でも、マイナンバー制度では「番号法」など関係法令の規制を受けることになるわけです。特に個人番号を含む個人情報は、漏洩などについて厳しい罰則も設けられており、中小企業でもルールをきちんと理解して対応を準備していく必要があります。○どの業務で個人番号の取り扱いが必要になるのか?マイナンバー制度は「社会保障・税番号制度」とも呼ばれ、中小企業で社会保障や税に係る業務を行うシーンで、従業員ひとりひとりに割り振られた個人番号を取り扱うことになります。具体的に個人番号の取り扱いが必要となる業務は、主に以下となります。○マイナンバー制度に対応するためにどのような準備が必要となるのか?これらの個人番号が記載されることになる書類の作成・提出は2016年(平成28年)1月からになっています。また、住民票を有する個人に2015年10月5日より市区町村より個人番号の通知カードが送付されます。個人番号の送付開始まで、もう半年を切っていますが、今からでも準備は遅くありません。まずは、前項であげた業務で、実際に個人番号を取り扱う業務や特定個人情報の範囲を明確にし、個人番号を取り扱う業務にあたる事務取扱担当者および責任者を決めることです。そのうえで、特定個人情報保護委員会(*)が公表している、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を参考に必要な準備をしていくことになります。主な項目をあげると以下のようになります。1.基本方針の策定従業員に制度を周知させるためにも策定することが重要とされています2.取扱規定等の策定特定個人情報の適正な取扱を確保するために策定します。前項であげた業務について、すでに業務マニュアルなどがある場合は、特定個人情報の取り扱いを明確化した項目を加えて作成することも考えられます。3.組織的安全管理措置担当者・責任者の明確化などの組織体制の整備や、取扱規定に基づく運用、取扱状況が分かる記録を作成・保存するなどの措置。4.人的安全管理措置取扱担当者に対する必要かつ適切な監督や、適切な教育を行うことなどの措置。5.物理的安全管理措置特定個人情報を取り扱う業務を行う区域、特定個人情報ファイルを扱う情報システムを管理する管理区域と特定個人情報を取り扱う事務を実施する取扱区域を明確にし、管理区域に対しては入退室管理、取扱区域に対しては間仕切り等の安全管理を行うなどの措置。6.技術的安全管理措置担当者や責任者のみが特定個人情報ファイルにアクセスできるように限定するアクセス制御を行うなどの措置。以上の項目を準備していくことになるわけですが、より詳しい内容については次回以降でみていきます。(*)特定個人情報保護委員会は、個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な措置を講ずることを任務とする内閣府外局の第三者機関です。著者略歴中尾健一(なかおけんいち)アカウンティング・サース・ジャパン株式会社取締役1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。
2015年06月08日トレンドマイクロは6月3日、日本国内の法人組織におけるセキュリティ被害と、対策状況の実態を明らかにする調査「組織におけるセキュリティ対策実態調査 2015年版」を公開した。この調査は、官公庁自治体および民間企業など、従業員50名以上の法人組織における、情報セキュリティ対策に関する意思決定者および意思決定関与者1340名を対象に行われた。回答は100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングされている。これによると、セキュリティ対策包括度は回答者全体の平均で62.7点(技術的対策平均40.0点、組織的対策平均22.7点)だった。この結果は前年比で4.2点のポイントアップだが、トレンドマイクロが定める法人組織に最低限必要な72点を下回っている。72点を上回ったのは、情報サービス・通信プロバイダーと金融の2業種だけだった。なお、セキュリティへの具体的な実施対策として前年度から最も増加したものは「社員教育を定期的あるいは随時行っている」だった。他にも、「従業員向けガイドラインの策定と定期的見直し」などで意識が向上している。このような傾向から、近年の内部犯行による事例などの影響を受け、企業・組織内において情報セキュリティに対するリテラシー向上や組織体制強化といった分野が注目されていることが推測される。今回の調査において、全体の66.6%にあたる892名が、2014年の1年間において「組織内でウイルス感染」、「システムからの情報漏えい」、「不正ログイン」など何らかのセキュリティインシデントが発生したと回答した。実害を受けたと回答した467名のうち16.9%、と2割近い回答者が1億円以上の被害を受けており、深刻な被害に繋がっているケースもあることが判明した。また、23.1%が被害額の見当がつかないと回答しており、約4社に1社の企業が被害額を把握できていないことも分かった。マイナンバーに関する対策の遅れも目立った。マイナンバーに関し、「マイナンバーの名称を知っている」または「制度についても理解している」と回答した1212名を対象に、ITシステムの対応状況を質問したところ、「完了している」と回答したのはわずか4.3%だった。また、1212名の内25.8%がマイナンバーに関し「セキュリティを強化する予定」と回答した。その一方で、38.5%が「何も決まっていない」と回答しており、マイナンバー制度への対応について未着手の企業・組織が多く存在していることが明らかになった。トレンドマイクロは、企業・組織では今後、万が一のセキュリティインシデント発生に備え、セキュリティ対策の見直しと必要予算の確保が必要になるだろうと指摘している。
2015年06月04日ラネクシーは、2016年1月から運用が開始される予定のマイナンバーに対応したデバイス制御ソフトウェアの最新版「DeviceLock 8.0」の発売を開始した。出荷開始は2015年6月8日を予定している。DeviceLockは、USB接続するデバイスの使用禁止設定が可能なほか、FireWireポート、Wi-Fiアダプタ、BluetoothアダプタなどクライアントPCの周辺機器の使用を制限するソフトウェア。最新版「DeviceLock 8.0」のContentLockでは、マイナンバーへのセキュリティ対策に有効となるコンテンツ認識機能を搭載し、ファイル内に数字12桁のデータがある場合、マイナンバー情報のパターンかどうかを自動判別し、デバイスへの書き出しやメール添付、インターネットへのアップロード等の禁止を実現するという。マイナンバー情報のパターンかどうかは、「行政手続における特定の個人を識別するための番号の利用等に関する法律の規定による通知カード及び個人番号カード並びに情報提供ネットワークシステムによる特定個人情報の提供等に関する省令の計算式の基づいて判断するという。また、Mac OS X10.10にも対応したほか、光学式文字認識機能の追加やMicrosoft Outlook Web App (OWA)の制御機能を追加を行っている。
2015年06月03日うちのダメ夫
あの日、私はいじめの加害者にされた
東京マウントガールズ