今回は、マイナンバー(社会保障・税番号)制度に対する企業対応のうち、企業に課せられた安全管理措置を解説します。
4. 必要最低限の「安全管理措置」
特定個人情報保護委員会が2014年12月11日に発行し、2016年1月1日に一部改正した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」には、「(別添)特定個人情報に関する安全管理措置(事業者編)」があります。このガイドラインおよび「ガイドラインに関するQ&A」を参考に、必要最低限の安全管理措置を実施してください。
(1)安全管理措置の前提
この中で、安全管理措置を講ずるにあたっての前提として、①個人番号を取り扱う事務の範囲、②特定個人情報等の範囲、③特定個人情報等を取り扱う事務に従事する従業者(事務取扱担当者)の3点を明確にするよう求めています。
- 事業者は、個人番号関係事務または個人番号利用事務の範囲を明確にしておかなければなりません。個人番号関係事務とは、事業者が、法令に基づき、従業員等の個人番号を給与所得の源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格取得届等の書類に記載して、行政機関等及び健康保険組合等に提出する事務のことです。個人番号利用事務とは、行政機関等が、社会保障、税及び災害対策に関する特定の事務において、保有している個人情報の検索、管理のために個人番号を利用することをいい、事業者においては、健康保険組合等の一部の事業者がこの事務を行っています。
- 事業者は、①で明確化した事務において取り扱う特定個人情報等の範囲(氏名、生年月日等)、および①で明確化した事務に従事する事務取扱担当者を明確にしておかなければなりません。
(2)安全管理措置の内容
1)基本方針の策定(任意)
基本方針に定める項目としては、次に掲げるものが挙げられます。
- 事業者の名称
- 関係法令・ガイドライン等の遵守
- 安全管理措置に関する事項
- 質問及び苦情処理の窓口 等
2)取扱規定等の策定(義務。但し、中小規模事業者(※)は任意)
取扱規程等は、通常、① 取得する段階、② 利用を行う段階、③ 保存する段階、④ 提供を行う段階、⑤ 削除・廃棄を行う段階、の管理段階ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定めることが考えられます。中小規模事業者(※)においても、①特定個人情報等の取扱い等を明確化する、②事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する等の規定策定が期待されています。
(※)「中小規模事業者」は、従業員数100人以下の事業者で、以下の事業者を除いたものです。
- 個人番号利用事務実施者
- 委託に基づいて・個人番号関係事務または個人番号利用事務を業務として行う事業者
- 金融分野の事業者(保険代理店等)
- 個人情報取扱事業者
3)組織的安全管理措置(義務)
事業者は、特定個人情報等の適正な取扱いのために、次のような組織的安全管理措置を講じなければなりません。
- 組織体制の整備
- 取扱規定等に基づく運用
- 取扱状況を確認する手段の整備(特定個人情報等の取扱状況のわかる記録の保存)
- 情報漏えい等の事案に対応する体制の整備(従業者から責任者に対する報告体制等の確認)
- 取扱状況の把握および安全管理措置の見直し(責任者による定期的点検)
4)人的安全管理措置(義務)
事業者は、事務取扱担当者に対し必要かつ適切な監督を行うとともに、特定個人情報等の適正な取扱いを徹底するために必要な教育を行うことが求められています。
5)物理的安全管理措置(義務)
事業者は、①特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(「管理区域」)及び特定個人情報等を取り扱う事務を実施する区域(「取扱区域」)を明確にし、ICカード等による入退室管理、壁・間仕切りの設置等の物理的な安全管理措置を講ずる必要があります。また、②機器・電子媒体等の盗難・紛失の防止、③電子媒体等を持ち出す場合の漏えい等の防止(追跡可能な移送手段の利用など)、④個人番号の削除、機器および電子媒体等の廃棄(必要がなくなり、法令等で規定されている保存期間を経過した場合に復元が困難な手段での削除ないし廃棄)、などを求められています。
6)技術的安全管理措置(義務)
事業者は、①アクセス制御、②アクセス者の識別と認証、③外部からの不正アクセス等の防止、④通信経路やデータの暗号化やパスワードの保護等における情報漏えい等の防止、を求められています。
(3)個人番号の廃棄・削除
これまでの個人情報との大きな違いは、廃棄・削除が義務になっている点です。個人番号は、行政機関等に書類を提出する事務のために必要がなくなった時点で、個人情報を
持っているだけで違法になります。すなわち、書類・システム上のデータは、書類の法定保存期間が経過した時点で廃棄しなくてはなりません。
5. 特に企業に厳しい罰則規定にご注意ください!
個人番号の漏えいを防ぐため、会社には安全な個人番号の管理が強く求められています。
罰則規定も、個人情報保護法と比べ、厳しいものとなっています。例えば、社員が個人情報を含む特定個人情報ファイルを名簿業者に売ったとすると、その社員は4年以下の懲役または200万円以下の罰金または併科になりますが、企業も200万円以下の罰金を科せられる恐れがあります。
(出所)内閣官房「マイナンバー社会保障・税番号制度」
6. マイナンバービジネスの横行にご注意!
にわかに盛り上がり始めているのが、マイナンバーの関連ビジネスです。マイナンバーの配布が広がり、マイナンバーがらみの詐欺事件、マイナンバーを利用した販売促進で指導を受ける等、様々な事件が起きています。マイナンバー管理には、社労士や税理士などへの外部委託、クラウドサービス、社内で管理体制を整えて管理等の様々な方法があります。外部委託やクラウドサービスは費用がかかりますが、社内管理体制を整える方が高くつく場合もあり、外部サービスを利用する場合も多くなると考えられます。
悪質なマイナンバービジネスに気をつけましょう!