エスクリブ COLUMN

急げ! 企業がマイナンバーを取扱うための安全管理の基本ポイント

  • 投稿日:
  • by

kagi.jpg今回は、企業向けにマイナンバー対応のポイントをお伝えします。もう時間がありません。Web記事や書籍・雑誌等でいろいろとポイントは紹介されていますが、ここでは、制度の仕組みを説明するのではなく、「企業はマイナンバーをどう管理すればいいのか」に絞ってお伝えします。
巷ではマイナンバーが記載された紙や保管媒体等を「金庫にしまっておかなければならない」といった噂も流れているようですが、一律にそのような対応をしなければならないということはありません。

先ず、理解して頂きたいのは「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」における安全管理措置は「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月12日厚生労働省・経済産業省告示第4号)をベースに記載されているので、当ガイドラインに対応してしっかり個人情報を管理している、または、プライバシーマークの付与を受けている事業者は対応しなければならない部分は限られているということが言えます。

この限られた部分は具体的には以下となります。

  1. 管理区域と取扱区域の区分
  2. 本人確認した上でのマイナンバー取得
  3. 法定保存期間を過ぎたマイナンバーの削除

また、注意しなければならないのは、給与計算、会計処理、社会保険処理等を税理士や社会保険労務士へ委託している場合、委託を受ける事業者も「個人番号関係事務実施者」に該当し、しかも中小規模事業者であっても、特例的な対応方法は実施されず、厳格な安全管理が求められます。

次に、以下の管理ポイントを理解しましょう。

  1. 取扱い責任者、取扱い担当者を明確に決める
  2. 本人確認をした上で、マイナンバーを取得する
  3. 管理区域はサーバールームのような入退室管理をしている場所を指し、そこに取得したマイナンバーを保管する
  4. 取扱区域は、マイナンバーを取扱う場所を指し、盗み見されないような対応が必要である。特定個人情報の取扱いガイドラインにあるような間仕切りができない場合は、プライバシーフィルターをパソコンに取り付けて作業することでも十分である。
  5. 給与計算や源泉処理、社会保険処理を委託している場合は、安全管理措置がしっかり施されている委託先であることを確認した上で、契約する必要がある。

サーバールームを持たない小規模事業者の場合は、マイナンバーを含む個人情報をノートPC、外付けハードディスク、NAS等に保存して夜間・休日は施錠できる引き出し、あるいは、キャビネットなどに保管することが推奨されます。要は事業者の身の丈に合った対応で構いません。紙媒体も施錠保管しましょう。

次に、マイナンバーの取得は誤った番号を取得しないよう「本人確認」をしっかり行う必要があります。基本的には、10月5日以降に送られてくる「通知カード」と運転免許証などの本人の身元確認書類を元に行いますが、規模の小さい事業者で誰でも顔と名前が一致して認識できるような場合は、通知カードによって住所を確認した上で提供を受けることで問題ありません。

事業者が最も重要視しなければならないのは「記録を取る」ことです。
特定個人情報の取扱いガイドラインでも「特定個人情報等の取扱状況の分かる記録を保存する」と明記されています。運用記録等は特定個人情報の事故の原因追及や訴訟等における客観的な証拠としても大変重要です。これによって「故意ではない」「完全管理措置に問題はなかった」ことを示すことができ、ステークホルダーへの説明責任を果たすことができます。

番号法は直罰規程を加えた事業者規制法であり、事故等が発生した場合に事業者もその責めを負うという認識を持つことが必要です。この事故が発生した場合の備えとして以下の5つの局面での記録が求められるので、しっかり対応して下さい。

  1. 個人番号を取得する段階(例:本人確認記録など)
  2. 個人番号を利用する段階(例:処理記録、ログインや入出力のシステムログ、入退室記録など)
  3. 個人番号を保存する段階(例:処理記録、システムログ、入退室記録など)
  4. 個人番号を提供する段階(例:持ち出し記録、送信記録、配達記録など)
  5. 個人番号を削除・廃棄する段階(例:処理記録、廃棄・裁断記録、マニュフェストなど)

最後に、マイナンバー制度を契機にお勧めしたいことがあります。
特定個人情報の取扱いガイドラインの中小規模事業者の特例的対応の中に「事務取扱担当者が変更となった場合、確実な引き継ぎを行い、責任ある立場の者が確認する」とありますので、業務の標準化を行い、そのプロセスを明確にすることが重要になりますが、安全管理の面でも大変有効です。
つまり、業務フローを作成し、個人情報の漏えい・滅失・既存・詐取につながらないよう、また、効率的な取扱い手順になるよう検討をして頂きたいと思っております。

著 佐藤 雅英