マイナンバーの適切な安全管理措置については、組織として対応しなければなりません。
事業者は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のため、必要かつ適切な安全管理措置を取る必要があります。そして、従業者に対して必要かつ適切な監督を行う必要があります。
中小規模事業者については特例があり、実務への影響に配慮がなされています。
マイナンバーを扱う事務の範囲を明確にすることが大切です。ガイドラインでは、事業者が取るべき安全管理措置の内容として、基本方針・取扱規程等の策定、組織的・人的・物理的・技術的安全管理措置が挙げられています。
○「基本方針」で大切なのは、特定個人情報の保護に関する基本理念を明確に示し、法令遵守・安全管理・苦情相談・問い合わせ等に関する方針を示すことです。
○「取扱規程等」というのは、源泉徴収票・支払調書の作成等の事務で特定個人情報等を扱う場合における事務フローやマニュアルなどの手順を文書化したものです。従業員による参照が簡単にできるようにすることが重要です。
○「組織的」な措置というのは、担当者を明らかにして、担当者ではない人は特定個人情報等を扱えないようなシステムを築くことです。
○「人的」な措置というのは、従業員を監督・教育することです。
○「物理的」な措置というのは、特定個人情報等の漏えい・盗難等を防止する措置で、担当者ではない人は特定個人情報等を扱えないように工夫することです。例えば、書類を鍵付きの棚に保管したり、壁又は間仕切り等を設置したり、のぞき見の恐れのない位置等に座席を配置したりすることです。
○「技術的」な措置というのは、担当者を限定するためにアクセスを制御したり、ウィルス対策ソフトウェア等を導入した上で最新の状態にアップデートしておいたりすることです。ただし、従業員数が100名以下の中小規模事業者については、特例が存在します。
マイナンバーの保管や廃棄も制限されています。
法律において限定的に明記された場合以外は、特定個人情報の収集又は保管を行うことは認められていませんので、社会保障及び税に関する手続書類の作成事務を処理する必要がなくなり、法令で定められている保存期間が過ぎたら、マイナンバーをできるだけ速やかに廃棄又は削除する必要があります。
特定個人情報というのはマイナンバーがその内容に含まれる個人情報ですが、特定個人情報は法律において限定的に明記された場合以外は保管してはならないことになっています。法律において限定的に明記された事務を行う必要があれば、保管し続けることが可能です。また、マイナンバーが記された書類等のうち法令で一定期間保存が義務付けられているものについては、当該期間保管します。
具体的には、雇用契約等の継続的な関係が存在するのであれば、従業員等より提供されたマイナンバーを翌年度以後も継続して保管できると考えられます。なぜなら、厚生年金保険・健康保険届出事務、給与の源泉徴収事務等を行う目的で継続して用いなければならないからです。しかし、法律において限定的に明記された場合以外は、特定個人情報の収集又は保管を行うことは認められていませんので、社会保障及び税に係る手続書類の作成事務を処理する必要がなくなり、法令で定められている保存期間が過ぎたら、マイナンバーのできるだけ速やかな廃棄又は削除が必要となります。ただし、マイナンバーの部分を復元不可能なほどに削除又はマスキング又は削除を行った後に、その他の情報を保管し続けることは認められています。
このように、マイナンバーの保管や廃棄は制限されています。廃棄又は削除を前提に、紙の書類の場合は簡単に廃棄できるような年限別の管理、システムの場合は要らなくなったマイナンバーを削除するための仕組み作りなどを行うといいでしょう。
内閣官房・内閣府・個人情報保護委員会・総務省・国税庁・厚生労働省「マイナンバー 社会保障・税番号制度 民間事業者の対応 平成28年3月版」を基に作成
行うべき安全管理措置の内容をガイドラインを基にまとめると、次のようになります。なお、従業員数が100名以下の中小規模事業者につき特例が設けられている項目については、「特例」として併記します。
また、上記中小規模事業者が行う安全管理措置に関する具体的なヒントを「→」の後に記載します。
1.基本方針の策定
特定個人情報等の適正な取扱いの確保につき組織として取り組むため、基本方針の策定を行うことが重要である。
→基本方針を策定する義務はないものの、策定しておくと従業員の教育に有益です。
2.取扱規程等の策定
事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等の策定を行う必要がある。
〔特例〕○特定個人情報等の取扱い等を明確にする。
○事務取扱担当者が変更されたら、確実に引き継ぎ、責任を有する立場の人が確認を行う。
→チェックリスト、業務フロー図、業務マニュアル等に、マイナンバーの扱いを追加するという方法もあります。
3.組織的安全管理措置
事業者は、特定個人情報等の適正な取扱いのため、次の組織的安全管理措置を取る必要がある。
(1)組織体制の整備
安全管理措置を取るための組織体制の整備を行う。
〔特例〕複数の事務取扱担当者が存在するのであれば、責任者と事務取扱担当者を分けることが好ましい。
→けん制効果が見込まれる方法といえます。
(2)取扱規程等に基づく運用
取扱規程等に基づく運用状況の確認を行うために、利用実績又はシステムログの記録を行う。
〔特例〕特定個人情報等の取扱状況が分かる記録の保存を行う。
→具体例として、次のような方法が挙げられます。
○取扱規程、事務リスト等に沿ったチェックリストを用いて事務を実施し、その記入済みのチェックリストの保存を行う。
○業務日誌等で、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日といった、特定個人情報等の取扱状況等の記録を行う。
(3)取扱状況の確認を行う手段の整備
特定個人情報ファイルの取扱状況の確認を行うための手段を整備する。
なお、取扱状況の確認を行うための記録等には、特定個人情報等の記載は行わない。
〔特例〕上記3(2)に同じ。
→上記3(2)に同じ。
(4)情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の兆候又は発生を把握したら、迅速かつ適切な対応を行うための体制を整備する。
情報漏えい等の事案が発生したら、二次被害や類似事案発生の防止等の観点より、事案に応じ、事実関係や再発防止策等の早急な公表が重要となる。
〔特例〕情報漏えい等の事案が発生すること等に備えて、従業者から責任を有する立場の人に対する報告連絡体制等の確認を事前に行っておく。
→業務遂行において不可欠な「ほうれんそう」(報告・連絡・相談)の確認を行うことが重要です。
(5)取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況の把握を行い、安全管理措置の評価、見直し及び改善への取組みを行う。
〔特例〕責任を有する立場の人が、特定個人情報等の取扱状況につき、定期的に点検する。
→事業者のリスクを軽減するための方法です。
4.人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのため、次の人的安全管理措置を取る必要がある。
(1)事務取扱担当者への教育
事務取扱担当者に対して、特定個人情報等の適正な取扱いの周知徹底を行うだけでなく、適切に教育する。
→従業員を監督・教育することは、事業者の基本といえます。従業員に対して、次のマイナンバー4カ条を徹底することが重要です。
○取得・利用・提供のルール
○保管・廃棄のルール
○委託のルール
○安全管理措置のルール
(2)事務取扱担当者への監督
特定個人情報等が取扱規程等に基づき適正に扱われるように、事務取扱担当者への適切かつ必要な監督を行う。
→上記4(1)に同じ。
5.物理的安全管理措置
事業者は、特定個人情報等の適正な取扱いのため、次の物理的安全管理措置を取る必要がある。
(1)特定個人情報等の取扱いを行う区域の管理
特定個人情報等の情報漏えい等を防ぐため、特定個人情報ファイルを扱う情報システムの管理を行う区域(以下「管理区域」と呼ぶ)及び特定個人情報等を扱う事務を行う区域(以下「取扱区域」と呼ぶ)を明確化し、物理的な安全管理措置を取る。
→事業者の規模や特定個人情報等を扱う事務の特性等によって異なりますが、具体例として、壁又は間仕切り等を設置したり、のぞき見の恐れのない位置等に座席を配置したりするといった工夫が挙げられます。
(2)機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等の取扱いを行う機器、電子媒体及び書類等の盗難又は紛失等を防ぐため、物理的な安全管理措置を取る。
→事業者の規模や特定個人情報等を扱う事務の特性等によって異なりますが、具体例として、書類等の盗難を防ぐために書庫等の鍵をかけることが挙げられます。
(3)電子媒体等の持出しを行う場合における漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等の持出しを行うに当たり、マイナンバーが簡単に分からないような措置の実施、追跡できる移送手段の活用といった安全な方策を取る。
「持出し」というのは、管理区域又は取扱区域の外へ特定個人情報等を移動させることであり、事業所内における移動でも盗難・紛失等に注意しなければならない。
〔特例〕特定個人情報等が記録された電子媒体又は書類等の持出しを行うに当たり、パスワードを設定する、封筒に入れて封をした上で鞄で搬送するといった盗難・紛失等を防止するための安全な方策を取る。
→置き忘れ等にも留意する必要があります。
(4)マイナンバーの削除、機器及び電子媒体等の廃棄
マイナンバー若しくは特定個人情報ファイルの削除、又は電子媒体等の廃棄を行ったら、削除又は廃棄を行った記録を保存する。また、これらの作業を委託するのであれば、委託先が確実な削除又は廃棄を行ったことにつき、証明書等で確認を行う。
〔特例〕特定個人情報等の削除・廃棄を行ったことを、責任を有する立場の人が確認する。
→事業者のリスクを軽減するための方法です。
6.技術的安全管理措置
事業者は、特定個人情報等の適正な取扱いのため、次の技術的安全管理措置を取る必要がある。
(1)アクセス制御
情報システムを用いて個人番号利用事務又は個人番号関係事務を行うに当たり、事務取扱担当者及びその事務で扱う特定個人情報ファイルの範囲を限るため、適切なアクセス制御を行う。
〔特例〕○特定個人情報等を扱う機器の指定を行い、その機器を扱う事務取扱担当者を限ることが好ましい。
○機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)で、情報システムの取扱い行う事務取扱担当者を限ることが好ましい。
→担当者ではない人に勝手に見られることのないようにする必要があります。
(2)アクセス者の識別と認証
特定個人情報等を扱う情報システムは、事務取扱担当者が正当なアクセス権のある人であることを認識した結果を基に認証を行う。
〔特例〕上記6(1)に同じ。
→上記6(1)に同じ。
(3)外部からの不正アクセス等の防止
外部からの不正アクセス又は不正ソフトウェアから情報システムを保護する仕組みの導入を行い、適切な運用を行う。
→インターネットに接続しているパソコンで作業するに当たっての方法です。具体例として、次の方法があります。
○ウィルス対策ソフトウェア等の導入を行う。
○機器やソフトウェア等に標準装備されている自動更新機能等を用いることで、ソフトウェア等を最新の状態にしておく。
(4)情報漏えい等の防止
インターネット等により特定個人情報等を外部に送信するに当たり、通信経路での情報漏えい等を防ぐための措置を取る。
→インターネットに接続しているパソコンで作業するに当たっての方法です。具体例として、パスワードによる保護又はデータの暗号化が挙げられます。
