全社員がアクセスできるNASは法律違反？マイナンバーや機密データを守る「アクセス権限」の正しい設定法

「うちは小さい会社だから、そこまで厳しくしなくても大丈夫」

この言葉、実は現場で何度も聞いてきました。

でも、少し冷静に考えてみてください。会社のNAS（社内共有サーバー）に、こんなデータ入っていませんか？

• 社員のマイナンバー
• 給与明細や源泉徴収票
• 取引先との契約書
• 銀行口座情報
• 顧客の住所・電話番号
• 見積書や価格表

そしてそのNAS、社員全員が普通に開ける状態になっていませんか。

もしそうなら、正直に言います。

それ、法律的にもかなり危ない状態です。

特にマイナンバーが入っている場合、「適切なアクセス制御をしていない会社」と判断される可能性があります。

実際、事故が起きると「なぜ全社員が見られたのか」という一点だけで責任を問われるケースもあります。

そして一番怖いのは、事故の原因が「ハッキング」じゃないことです。

ほとんどは社内から漏れます。

• 退職者がUSBにコピー
• 社員が誤って外部送信
• 共有フォルダの誤操作
• 営業資料に混ざって外部提出
• クラウド同期で外部共有

どれも、珍しい話ではありません。

むしろ「中小企業ではよくある事故」です。

この記事では、社長が今日すぐ確認できる「NASのアクセス権限の正しい設定方法」と、マイナンバー・機密データを守る現実的な管理ルールを解説します。

なぜ「全社員アクセスNAS」は危険なのか

マイナンバーは「誰でも見られる状態」が違反になる

まず一番大事なポイントです。

マイナンバーは、ただ保管しているだけでも管理義務があります。

法律では「必要な人だけがアクセスできる状態」にすることが求められています。

つまり、給与担当・人事担当以外の社員が見られる状態だと、それだけで管理不備と判断される可能性があります。

「社員だから大丈夫」という理屈は通用しません。

むしろ社内の人間こそ、情報漏えいのリスクが高いと考えられています。

社員の「悪意」より「うっかり」が多い

社長がよく心配するのは「社員が持ち出すこと」です。

もちろんそれもあります。

でも実際の事故は、もっと単純です。

• 営業資料フォルダに個人情報が混ざる
• 外部共有フォルダに誤って置く
• メール添付を間違える
• 退職者のアカウントが残る

つまり、事故の原因はほぼ「設計ミス」です。

アクセスできる人が多すぎるだけで、事故の確率は一気に上がります。

マイナンバーや個人情報は「必要な人だけ見える構造」にすることが最低条件です

あわせて読みたい

全社員にアクセス権を与えていませんか？マイナンバー漏洩を招く「身内への甘い設定」社長が今すぐ見直... 社長、正直に聞きます。 マイナンバーのデータ、誰が見られる状態になっていますか？ 「総務だけだと思う」「クラウドに入ってるけど詳しくは知らない」「一応パスワー...

電帳法・個人情報保護で見られるポイント

税務調査で実際に聞かれること

電帳法対応の企業では、税務調査でこう聞かれることがあります。

• 誰がアクセスできますか
• 閲覧ログは残りますか
• 編集できる人は誰ですか
• 退職者のアカウント管理はどうしていますか

ここで「全社員です」と答えると、ほぼ確実に突っ込まれます。

理由は単純です。

改ざん防止になっていないからです。

ログが残らないNASは危ない

多くのNASは、初期設定だとログが残りません。

つまり、誰が何を見たか分からない状態です。

この状態で情報漏えいが起きると、原因が追えません。

結果として会社の管理責任が重くなります。

ログ機能を有効化していないNASは意外と多いので要確認です

あわせて読みたい

「税理士さんに任せている」は超危険。IT側から見た、電帳法対応の致命的な盲点 「うちは税理士さんにお願いしてるから大丈夫です」 この言葉、正直に言うと現場で何度も聞いてきました。そして、そのあとヒヤッとするケースも何度も見ました。 電子...

アクセス権限の「正しい分け方」

フォルダは3階層で分ける

実務では、次の3段階に分けるのが一番トラブルが少ないです。

フォルダ	アクセス
一般共有	全社員
部署共有	部署メンバーのみ
機密情報	役員・管理者のみ

この構造だけで、事故リスクはかなり下がります。

マイナンバー専用フォルダを作る

マイナンバーは別管理が基本です。

給与データと一緒のフォルダに置いている会社も多いですが、これは危険です。

閲覧権限は以下程度に絞るのが一般的です。

• 社長
• 経理責任者
• 給与担当

この3名程度で十分です。

マイナンバーは「社内でも隔離フォルダ」が基本ルールです

NAS設定でよくある危険パターン

Everyone権限のまま運用

NAS導入時によくあるのがこれです。

設定が面倒なので「Everyone」で共有。

つまり、社員全員フルアクセスです。

便利ですが、セキュリティ的にはかなり危険です。

退職者アカウントが残る

これ、本当に多いです。

退職後もNASにログインできる状態。

IT担当がいない会社ではよくあります。

退職者アカウント削除ルールは必ず作ってください

あわせて読みたい

そのNAS、世界中から丸見えかも？初期設定のまま使い続けるリスクと社長が取るべき3つの対策 社員のデータをまとめて保存しているNAS、正直「よく分からないまま」使い続けている 設定画面を触ったのは導入時だけで、その後は一切確認していない 外出先からも見ら...

社長が明日チェックすべき5つ

NASのアクセス権限

• 全社員アクセスになっていないか
• 部署ごとに分かれているか
• 機密フォルダがあるか

マイナンバー管理

• 専用フォルダがあるか
• 閲覧者は限定されているか

ログ設定

• 誰がアクセスしたか記録されるか

退職者管理

• アカウント削除ルールがあるか

バックアップ

• NASが壊れたとき復元できるか

まずは「誰が見られるか」を社長自身が把握することが第一歩です

まとめ：社長がまずやるべきこと

ここまで読んで、「うちも危ないかも」と思った社長。

その感覚、かなり正しいです。

中小企業のNASは、実はほとんどが無防備です。

でも安心してください。

大掛かりなシステムは必要ありません。

• フォルダを3階層に分ける
• マイナンバー専用フォルダ
• 退職者アカウント削除
• ログ有効化

この4つだけで、事故の確率はかなり下がります。

「社員全員アクセス」は楽ですが、その楽さが会社の信用を失う原因になることもあります。今日一度、NASを開いて確認してみてください。