マイナンバー管理における安全管理措置とは？運用手順も解説！

マイナンバー管理における安全管理措置とは？

安全管理措置とは、マイナンバー法で定められている、マイナンバーの適切な管理方法です。

マイナンバーは重大な個人情報であるため、法律に則って適切な管理を行わなければなりません。実際にマイナンバーを漏えいしてしまえば、社会的信用の失墜や多額の損害賠償責任を負うことになるでしょう。

そのため、事業者は従業員から収集したマイナンバーの情報漏えい・滅失・毀損をしないように管理する必要があります。マイナンバー管理における安全管理措置を守ることは義務です。この安全管理措置は大きく分けて４つの分野に分かれています。

安全管理措置の４分野とは？

つづいて、安全管理措置の４分野を見ていきましょう。

１：組織的安全管理措置

組織的安全管理措置とは、企業で適切にマイナンバーを管理する組織を構築して運用することです。

具体的にはマイナンバーを管理する担当者と責任者を決め、関わる人員を限定します。管理者を限定することで、情報漏えいの原因を最小限に抑えられ、運用しやすくなるでしょう。また、情報漏えいした場合の責任の所在もはっきりします。

社内でマイナンバーを管理する組織を構築するときには、連絡系統や指揮系統を明確にしておきましょう。また、データの持ち出し・入力・廃棄に関する履歴も適切に記録する体制が必要です。

２：人的安全管理措置

人的安全管理措置とは、マイナンバー担当者が適切に管理できるような人員体制を整えることです。

そのため、マイナンバー担当者には適正な取扱いをする旨を徹底周知し、適切な教育を行う必要があります。また、事業者は担当者が取扱規定に基づいた管理ができるように監督しなければなりません。

具体的な施策は、定期的なマイナンバーの管理体制の点検や、他部署の監査を実施することです。また、マイナンバーの秘密保持に関する内容を就業規則に盛り込むことも必要でしょう。ほかにも、従業員に対するマイナンバーの理解を深める研修の計画・実施などが該当します。

３：物理的安全管理措置

物理的安全管理措置とは、情報漏えいを防止するためにマイナンバーを管理する区域を明確にすることです。

具体的には、マイナンバーを鍵付きの保管庫、もしくは担当者以外が立ち入れない区域に保管します。たとえマイナンバーの持ち出しに関する社内ルールを決めていたとしても、情報漏えいする可能性があるからです。

これを防ぐためには、施錠するなど物理的な方法で安全性を確保しなければなりません。収集したマイナンバーが必要なくなった場合は速やかに破棄し、破棄したという記録を残す必要があります。紙媒体は焼却しデータは専用ソフトを利用するなど、復元できないようにしなければなりません。

４：技術的安全管理措置

技術的安全管理措置とは、マイナンバーを管理しているデータにパスワードやアクセス制限を設定することです。

基本的にはマイナンバーの管理はマイナンバー管理者しか行えません。部外者が管理ファイルやシステムに対し、閲覧・操作・管理できないように制限します。また、それだけでなくファイルにパスワードを設定し、担当者かどうかの識別することも必要です。

サイバー攻撃による情報漏えいが増えているため、外部からの不正アクセスも防ぐ施策も重要でしょう。具体的には管理しているシステムと外部ネットワークの接続部分にファイアウォールなどを設置することです。

ほかにはセキュリティ対策のソフトウェアの導入も有効でしょう。このように安全にマイナンバーを管理できるようなシステムの体制が必要です。

安全管理措置の手順は？

最後に、安全管理措置の手順を見ていきましょう。

１：個人番号取り扱い事務の範囲を明確にする

まずは、自社で行う事務の内容決定や、委託する場合はどの業者にするか選定してください。事業者は従業員に対して利用目的を伝える必要があります。そこで利用する目的に合わせてどのような事務作業が必要になるか洗い出しましょう。

具体的な業務は、源泉徴収票の作成、健康保険を始めとする社会保険の手続きなどです。このように業務を明確にすると、それ以外の業務利用を防ぐこともできるでしょう。

２：特定個人情報の範囲を明確にする

マイナンバーは業務で利用するときに、単独で使うことは多くありません。ほとんどの場合、氏名・生年月日といった個人情報と同時に利用します。そのため、マイナンバーに紐づいた特定個人情報を洗い出し、適切に管理するようにしましょう。

３：取扱担当者を明確にする

特定の個人情報の洗い出しをする作業と同時に、マイナンバーを管理する担当者を選出してください。例えば、担当者が不明確な場合や頻繁に変更になる場合、情報漏えいの危険性は高くなるでしょう。

なるべく早い段階で担当者を選出し、関係ない者が取り扱わないように注意してください。

４：基本方針を策定する

基本方針を明確にすることで、より安全にマイナンバーを管理できるでしょう。具体的には以下のような方針が該当します。

• ■従業員への教育研修の実施
• ■業務プロセスの明確化
• ■情報システムの整備
• ■内部監査の準備

５．取扱規定を策定する

基本方針に沿って詳細な運用方法を明確化します。取扱規定には以下のようなものが該当します。

• ■組織体制をまとめた書類の整備
• ■担当者の教育・監督をまとめた書類の作成
• ■マイナンバーを取り扱う領域を明記した書類の作成
• ■就業規則の変更
• ■マイナンバーの取扱いに関するマニュアルの作成
• ■事務フローの手順書の準備

安全管理措置の手順を認識し適切な対応を！

マイナンバーを管理するときには安全管理措置を理解し、適切に管理しなければなりません。安全管理措置には４分野あり、いずれも守る必要があります。

特にマイナンバーは重要な情報になるため、担当者以外が取扱いできないような環境を構築しましょう。安全管理措置の手順に沿って運用しなければなりません。マイナンバーの利用範囲を明確にし、基本方針を策定してください。

安全管理措置の手順を認識し、適切に対応しましょう。