そういえば、先週「法人番号」が届きました。
(「法人番号」とは、企業などに割り当てられる番号です。個人に割り当てられるのが「マイナンバー」です)
これまで、「マイナンバー」の適切な管理について説明してきましたが、「法人番号」には、どのような制限もありません。自由に使うことができます。
そもそも、法人番号は完全に公開されるものなので、安全管理措置の義務もありません。
初めて聞いたという方は、せっかくなので覚えておいてください。
さて、今回は「マイナンバー管理クラウドサービス」についてです。
これまで確認してきたように、マイナンバーを管理していくには「安全管理措置」が必要です。
特に「組織的安全管理措置」「技術的安全管理措置」で求めらている基準に対応するには、エクセル表や紙ベースの管理ではなく、「情報システム」による管理が必要です。
社内に情報システムが整備されている企業であれば、システムの一部改修だけで対応は可能だと思いますが、中小企業で自前のシステムを持っているところは少ないと思います。
そこで、このような企業は「マイナンバー管理クラウドサービス」を利用するのが良いです。
クラウドサービスとは
「クラウドサービス」という言葉は聞いたことはあると思いますが、具体的にどのようなサービスか分からない方もいると思うので、少し説明すると
分かりやすい例は、Googleが提供しているメールサービスの「Gmail」です。
(Microsoft社の「outlook.com(旧hotmail)」も同じサービスです)
Gmailでは、メールのデータは、Googleのサーバ内に保存されています。
そのため、今使っているパソコンやスマホには保存されていないので、そのパソコン等からデータが漏れるということはありません。
(厳密には、メールのデータはパソコン等にダウンロードすることができるので、この場合は漏えいの可能性が残ります)
どこのマイナンバー管理クラウドサービスを使用すればよいのか?
マイナンバーといっても、所詮は12ケタの数字のデータにすぎないので、必要なシステムはクレジットカード番号管理と同じセキュリティレベルで対応できます。また、複雑な機能もいりません。
そのため、どの会社でもサービスの品質には差がないと思われます。
マイナンバー制度の本格運用が始まっていないので、断定できませんが、明確な差はないはずです。仮にあったとしても、時間が経てば同じサービス品質になるはずです。
そこで、現在、会計ソフトを利用している場合は、その会社が提供するマイナンバー管理サービスを利用するのが良いでしょう。
ほとんどの会計ソフトを作っているメーカーは、マイナンバー管理サービスも提供しています。
具体的なサービス名について述べるのは、ここでは控えたいと思いますが、「マイナンバー クラウド」などのキーワード検索してみると、たくさんのサービスが見つかります。
信用できる安全管理の目安として、以下の点を確認してください。
・ISMS認証を取得している。(ISO27001)
おそらく、ほとんどのメーカーはどちらかは取得しているはずです。
(もし、両方ない場合は止めた方がよいでしょう)
クラウドサービスによる保管は業務委託になるのか?
6回目に、マイナンバー管理は「業務委託できる」ということについて解説しました。
参考)マイナンバー3分講座6回目 知らないと危険!業務委託の落とし穴
それでは、この「マイナンバー管理クラウドサービスは業務委託なるのか?」ということですが
クラウドサービス提供会社は、マイナンバー関連事務の委託先にはなりません。
この基準については、特定個人情報保護委員会のQ&A集に記載されています。
Q3-12
特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。A3-12
当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
要するに、税理士や社労士のように、直接マイナンバーを取り扱う事務を行うわけではなく、マイナンバーのデータを保管するサービスを提供しているだけであるためです。
(マイナンバー取扱事務を行っているわけではない)
業務委託ではないので、当然、監督義務もないのですが、これについても、Q&A集に記載があります。
Q3-13
クラウドサービスが番号法上の委託に該当しない場合、クラウドサービスを利用する事業者が、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。A3-13
クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は課されませんが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要があります
事業者はマイナンバー管理クラウドサービスを利用ししても、そのサービス提供会社を監督する義務はありません。
サービス提供会社は、適切な「安全管理措置」をしなければいけないということです。
まずは社内の体制整備をしてからクラウドサービスの導入を
おそらく今後、マイナンバー管理はクラウドサービスが主流になっていくでしょう。
しかし、クラウドサービスを導入すれば、マインバー管理のすべてが解決するわけではありません。
クラウドサービスで対応できるのは、ガイドラインで定めらた安全管理措置の一部だけであるということに注意してください。
まずは、4つの安全管理措置をよく理解していただき、社内体制の現状確認と整備を行ってください。
そのうえで、必要であればクラウドサービスを利用してください。