電子申請特設サイト

電子申請導入時に注意すべきこと

当サイトはアドセンス広告およびアフィリエイト広告を利用しています。

  1. HOME >
  2. 電子申請特設サイト >

電子申請導入時に注意すべきこと

パソコンセキュリティのイメージ画像

電子申請は情報漏洩リスク対策が必須

落ち込む男性ビジネスパースン

事業者が官公署に行う届出のうち、社会保険や労働保険の被保険者資格や保険給付に関する届出は、マイナンバーを含む特定個人情報を記載する様式が多いため、取り扱いに際し、情報漏洩や不正利用などが起こらないようなルールと組織体制づくり、従業員教育が不可欠です。

マイナンバーを含む特定個人情報の漏洩や不正利用が発生する主な要因は、主にサイバーリスクとヒューマンエラーの2つです。前者は自社のネットワークへの不正アクセスやパソコン端末のマルウェア感染、後者は管理ルールと従業員教育の不備による事故等が考えられます。

従業員の個人情報は特定個人情報と呼ばれ、顧客データなどの一般的な個人情報に比べてより厳格な管理が求められます。不備や不正による特定個人情報の漏洩は、刑罰や風評被害などのリスクが大きいため、事業者はこれらを理解し、十分な対策を講じなければなりません。

特定個人情報とマイナンバーの取扱

NGサインを出す女性

個人情報は、氏名や生年月日、住所など特定の個人を識別できる情報をいい、特定個人情報とは、個人情報にマイナンバーを加えた情報をいいます。前者に個人情報保護法が適用されるのに対し、後者は個人情報保護法とマイナンバー法の両方が適用されます。

事業者が個人情報を取り扱う際は、個人情報の利用目的を明示しなければなりませんが、本人の同意を得られれば、目的外の利用も可能です。しかし特定個人情報は、本人の同意があった場合でも、税および社会保障ならびに災害対策以外の目的に利用することはできません。

特にマイナンバーは本人認証の根拠となるため、なりすましや不正利用のリスクが大きく、マイナンバー法では、マイナンバーを流出させたり、不正に取得した者および事業者に対し、最高で4年以下の懲役もしくは200万円以下の罰金という厳しい罰則を設けています。

サイバーリスク対策は万全ですか?

疑問だらけの3人のビジネスパースン達

個人情報保護委員会によると、令和6年上期に同委員会に報告された個人情報漏えい事故のうち、およそ3割が不正アクセスによるものでした。自社のLANに不正アクセスされると、特定個人情報などの機密情報が盗まれたり、ホームページが乗っ取られたりと被害は甚大です。

従来のサイバーリスク対策は、外部からのLAN侵入阻止に重点が置かれていましたが(境界型セキュリティ)、現在はゼロトラストセキュリティといって、LANの外側だろうと内側だろうと安全圏は存在しないという前提で、サイバーリスク対策を行うのが主流となっています。

「ウチにはゼロトラストセキュリティはハードルが高い…」という中小事業者は、まず①パスワード強化、②OSのアップデート、③ウイルス対策ソフトの導入の3つを徹底するところから始めることを推奨します。USBメモリの使用禁止も情報漏洩対策として効果的でしょう。

特定個人情報管理体制の確立を!

打ち合わせするビジネスパースン達

特定個人情報を巡るトラブルのな原因は、メールやFAXの誤送信、書類やUSBメモリの紛失、ハッカーによる不正アクセス、特定個人情報の目的外利用、不適切な保管方法、不適切な情報収集などですが、これらの多くは管理方針や管理体制の未整備によるものです。

そこで当事務所では、雇用保険電子申請アドバイザリー業務の一環として、特定個人情報管理規程の整備および管理体制の構築のコンサルティングを提供いたします(別途、当事務所規定のコンサルティング料が発生します)。それらの主なメニューは次のとおりです。

基本方針と規程の策定

  • 組織としての取り組み方針を明確化する文書(特定個人情報ポリシー)の策定
  • 特定個人情報の取扱規程(収集・利用・保管・提供・削除・廃棄の手順)策定

組織的安全管理措置

  • 体制整備:責任者と取扱担当者の明確化
  • アクセス制限:業務上必要な者のみアクセス可能な体制
  • 利用記録の保持:アクセスログや取扱状況の記録
  • 情報漏えい等への対応体制:事故時の報告・対応体制の整備
  • 定期点検の実施:定期的な運用状況の点検

人的安全管理措置

  • 従業員教育:マイナンバー取扱者への定期的研修・教育
  • 監督の徹底:マイナンバー取扱担当者への必要な監督の実施
  • 秘密保持:従業員への秘密保持に関する誓約(就業規則へ明記)

技術的安全管理措置

  • アクセス制御:ユーザー認証、権限管理によるアクセス制限
  • 不正アクセス対策:ファイアウォール、ウイルス対策ソフトの導入
  • アクセスログの記録:誰がいつアクセスしたかの記録

物理的安全管理措置

  • 区域管理:特定個人情報を取り扱う区域の明確化と入退室管理
  • 機器等の管理:セキュリティワイヤー等による固定、施錠保管
  • 持出制限:持ち出し時の暗号化、パスワード設定、封緘等の対策
  • 適切な廃棄:シュレッダーや焼却など、復元不可能な方法での廃棄

委託先の管理

  • 適切な委託先選定:安全管理能力のある委託先(社労士事務所等)選び
  • 委託契約の締結:安全管理措置や秘密保持義務等を含む契約締結
  • 再委託の制限:再委託には元の委託者の許諾を条件とする
  • 委託先の監督:委託先の特定個人情報の取扱状況の確認

当事務所はSRPⅡ認証取得社労士事務所です

SPR2認証マーク

当事務所はリモートワークスコンサルティング社労士事務所という名称のとおり、電子申請をはじめとするオンラインサービスを得意とする社労士事務所であり、過去には従業員600人規模の人事マネジメント業務をフルリモート運用に移行した実績もあります。

そのような背景もあって、人事に関する電子申請コンサルティングは、いわば当事務所の十八番ともいえるカテゴリーですが、そんな当事務所も自らSRPⅡ認証を取得し、マイナンバーを含む特定個人情報の適正かつ適切な管理体制の維持向上に日々努めています。

SRPⅡ認証とは、顧問先役職員の特定個人情報(マイナンバー含む)を適正かつ適切に管理できる業務体制を整備し、保持していることを全国社会保険労務士会連合会が認証する、社労士版プライバシーマークです。本記事に関するご相談もどうぞ安心してご依頼ください。

電子申請アドバイザーのご利用方法
■担当アドバイザー 山口光博(社会保険労務士)
■ご来所でのご相談をご希望の場合
 ハローワーク札幌東3F電子申請相談コーナー
 毎週木曜日 9:00~17:15 TEL 011-853‐0101(部門#21)
■アドバイザー派遣をご希望の場合
 下記お問い合わせフォームより以下についてご連絡ください。
 ①社名、②担当者名、③電話番号、④希望日時(第三希望まで)

RWC合同会社/RWC社労士事務所のサービスを詳しく知りたい

🍀無料カウンセリング受ける🍀
悩んだらまずはお気軽にお問い合わせください。

お問い合わせはこちら

-電子申請特設サイト
-