マイナンバーにおける安全管理措置とは?
マイナンバーは重大な個人情報です。万が一企業が従業員のマイナンバーを社外に流出させてしまえば、社会的信頼の失墜は避けられません。したがって、他者のマイナンバーは厳重に取り扱う必要があります。
そこで、マイナンバーの管理方法は、マイナンバー法にて「安全管理措置」として規定されています。これは、どのようにマイナンバーを管理すれば良いのか、詳細なルールや方法を定めたものです。企業が従業員や顧客のマイナンバーを取り扱う際には、安全管理措置の定めに従うことが義務付けられています。
安全管理措置の具体的な内容については、個人情報保護委員会事務局がガイドラインを発行しています。まずは、安全管理措置の概要をまとめた「はじめてのマイナンバーガイドライン」から目を通しましょう。その後は、本編である「特定個人情報の適正な取扱いに関するガイドライン」を確認しましょう。
参考:はじめてのマイナンバーガイドライン|個人情報保護委員会事務局
参考:特定個人情報の適正な取扱いに関するガイドライン|個人情報保護委員会
マイナンバーにおける安全管理措置の4分野とは?
マイナンバーの安全管理措置は大きく4つの分野に分かれています。それぞれの内容を解説します。
1.組織的安全管理措置
組織的安全管理措置とは、組織がマイナンバーを取り扱うにあたって、実施しなければならない体制整備のことです。具体的には、以下のことが定められています。
- 組織体制の整備
- マイナンバー管理を行う担当者やその責任の範囲を明確にします。また、担当者が規定に背いた場合の対処法なども整備します。
- 取扱規程などに基づく運用
- マイナンバーの運用ルールが守られていることを確認する記録体制を整備します。たとえば、マイナンバー関連書類の持ち出しに関する記録や担当者のログイン履歴などを保存します。
- 取扱状況を確認する手段の整備
- マイナンバーが適切に取り扱われていることを確認する記録体制を整備します。たとえば、責任者や取扱部署、利用目的などを常に記録します。
- 情報漏洩などの事案に対応する体制の整備
- 情報漏洩など、マイナンバー管理に関する問題が生じた際の対処方法を整備します。原因究明や再発防止策の検討などを行う体制を整えます。
2.人的安全管理措置
人的安全管理措置とは、マイナンバーが適切に管理されるよう、人員体制を整えることです。具体的には、以下のことが定められています。
- 事務取扱担当者の監督
- 事業者はマイナンバーなどが正しく管理・運用されるよう、事務取扱担当者を適切に監督しなければなりません。具体的には、定期的なマイナンバーの管理体制の点検や、他部署による監査の実施といった方法があります。また、就業規則にマイナンバーに関する規定を加えておくのも有効です。
- 事務取扱担当者の教育
- 事業者は事務取扱担当者に対し、マイナンバーの適切な取扱いについて周知し、教育を実施しなければなりません。具体的には、定期的な研修などを行う必要があります。
3.物理的安全管理措置
物理的安全管理措置とは、マイナンバーの物理的な保管について適切な体制を整備することです。具体的には、以下のことが定められています。
- 区域の管理
- マイナンバーを保管するサーバなどの管理区域を明確にし、情報の不正取得を防ぎます。指紋認証を用いた入室制限などが有効です。
- 盗難などの防止
- マイナンバーを扱う電子媒体や書類の物理的安全を確保します。鍵付きの保管庫を利用するのが有効です。
- 漏洩などの防止
- マイナンバーを記載した書類あるいは電子媒体を持ち運ぶ際、情報が流出しないよう体制を整備します。データの暗号化や追跡可能な手段による移送などが考えられます。
- 削除・廃棄
- マイナンバーを保管する必要がなくなった場合の削除・廃棄方法を定めます。システムの物理的な破壊などにより、復元不可能な状態にしなければなりません。
4.技術的安全管理措置
技術的安全管理措置とは、システム面からマイナンバーを保護する措置です。具体的には、以下のことが定められています。
- アクセス制御
- マイナンバーにアクセスできる端末や、アクセス可能なマイナンバーを限定することで、情報漏洩のリスクを低減します。
- アクセス者の識別と認証
- パスワードやICカードによる認証を利用し、マイナンバーへアクセスする人物の識別・認証を行います。
- 外部からの不正アクセスなどの防止
- ファイアウォールなどのセキュリティシステムを利用し、外部からのサイバー攻撃を防ぎます。
マイナンバーにおける安全管理措置の手順は?
マイナンバーの安全管理措置で定められた項目を遵守するには、どのような手順を踏めば良いのでしょうか。
1.取り扱い事務・情報の範囲を明確にする
初めに、マイナンバーの取り扱い範囲を明確にしましょう。企業が従業員のマイナンバーを取り扱う場合は、主に以下の事務で利用することになります。
- ■給与所得の源泉徴収票
- ■支払調書
- ■健康保険
- ■厚生年金保険被保険者資格取得届
利用目的を明確にしたら、それを必ず従業員に周知しましょう。周知した目的以外のためにマイナンバーを使うことは認められません。
続いて、上記で明確化した事務において、取り扱う特定個人情報などの範囲も明確化しましょう。特定個人情報の範囲の明確化とは、「事務において使用される個人番号及び個人番号と関連付けて管理される個人情報の範囲を明確にすること」です。上記の事務において、マイナンバーと一緒にどのような個人情報が利用されるのかを明らかにしましょう。
2.取扱担当者を決定する
次は、前述した事務を誰が担うのかを明らかにします。取扱担当者を決定しなければ、担当者以外による利用を制限できないからです。
また、担当者を決める際は、できる限り少人数にとどめておきましょう。多くの人が関われば関わるほど、情報流出のリスクは大きくなります。また、一度決定した取扱い担当者の変更も最小限に抑えましょう。
3.基本方針を策定する
基本方針とは、以下の項目のことです。
- ■事業者の名称
- ■関係法令・ガイドラインなどの遵守
- ■安全管理措置に関する事項
- ■質問や苦情処理の窓口
法令をどのように遵守するのか、質問や苦情はどのように処理するのか、具体的な対策のベースとなる方針を定めましょう。ここで決めた方針が、次に解説する取扱規定の策定に必要となります。
4.取扱規定を策定する
基本方針を守りながら、マイナンバーを取り扱う各種事務を遂行するための具体的な規定を定めます。以下の5段階に分けて、適切な情報の取扱い方法を決めましょう。
- 取得段階
- 従業員などから提出された書類の回収方法や移動方法など
- 利用段階
- 源泉徴収票など、マイナンバーを利用した書類の作成方法など
- 保存段階
- 書類の保存方法や、マイナンバーをITシステム上に記録する方法など
- 提供段階
- マイナンバーを利用した書類を行政機関に提出する方法など
- 削除・廃棄段階
- 保存期間を超過したマイナンバー関連データの廃棄・削除方法など
マイナンバーの安全管理措置を実施するポイントは?
ここまで解説してきたように、マイナンバーの安全管理措置を実施するには厳重な体制と細心の注意が求められます。しかし、マイナンバーの管理だけにこれほどの労力や時間を割く余裕がない企業も少なくありません。
そのような企業にとって有益な選択肢の1つが、マイナンバー管理の外部委託です。委託するのにコストはかかりますが、自社でマイナンバー管理の人材を用意するよりローコストになるケースも多いです。しかし、マイナンバー管理を請け負う企業のすべてが、適切な体制を整えているとは限りません。また、従業員の個人情報を外部に渡すことに抵抗を感じる企業も多いでしょう。
そのような場合におすすめなのが、マイナンバー管理システムの利用です。マイナンバー管理に関する作業が1つのシステム上で完結します。紙媒体を利用しないため紛失や盗難のリスクも低く済みます。法律に準拠したシステムなら、自動的に法を遵守しながら扱えるのも魅力です。
マイナンバーの安全管理措置について理解し、適切な対応を!
マイナンバーの安全管理措置とは、マイナンバー法で定められた管理方法のことです。4つの観点からマイナンバーの管理方法が定められています。これに則って管理するには、以下の手順を取りましょう。
- 1.取り扱い事務・情報の範囲を明確にする
- 2.取扱担当者を決定する
- 3.基本方針を策定する
- 4.取扱規定を策定する
また、適切に管理するにはマイナンバー管理システムの利用がおすすめです。以上を踏まえ、法律を遵守しましょう。
