お気軽にお問い合わせください

マイナンバー制度 第4回

Column

第4回 マイナンバー制度で求められる安全管理

掲載日:2015年6月22日

前回まででマイナンバー制度による企業の業務、システムへの影響について概観してきました。
今回は、マイナンバー制度の安全な運用の為に、企業に求められる個人番号および特定個人情報の安全管理措置について説明いたします。

マイナンバー制度は、個人番号を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限しています。
したがって個人番号を扱う事業者には、個人情報および特定個人情報の情報漏えい等を防止する安全管理が求められています。特定個人情報の適正な取扱いに関するガイドライン(事業者編)(特定個人情報保護委員会平成26年12月11日版)より企業がとるべき安全管理措置の検討及び内容に
ついて抜粋し説明いたします。

【安全管理措置の検討】

特定個人情報等の適正な取扱いを確保するために基本方針を策定して組織的な取組を行うことが必要です。
取扱い規定等を策定し、特定個人情報等を取り扱う 体制の整備及び情報システムの改修等を行う必要があります。

検討手順の概略は、次のようになります。

①個人番号を取り扱う事務の範囲を明確にする
 ・法令に基づき、従業員等の個人番号を給与所得の源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格
  取得届等の書類に記載して、行政機関及び 健康保険組合等に提出する事務。

②特定個人情報等の範囲を明確にする
 ①で明確にした事務において使用される個人番号及び個人番号と関連付けて管理される個人情報
 (氏名、生年月日等)の範囲を明確にする。

③事務担当者を明確にする
 ①で明確にした事務に従事する事務担当者を明確にする。

④基本方針を策定する
  特定個人情報等の適正な取扱いを確保するために、組織として取り組む基本方針を作成する。
  ■基本方針として定める項目例■
   事業主の名称、関係法令・ガイドライン等の順守、安全管理措置に関する事項、質問及び苦情処理の窓口等

⑤取扱規程等を策定する。
 ①②③で明確にした事務における特定個人情報等の適正な取扱いを確保するための取扱規程等を定める。
 ■取扱規程を定める手法例■
  取得、利用、保存、提供及び削除・廃棄の各理段階ごとに取扱方法、責任者・事務取扱担当者及びその任務等
  について、安全管理措置を織り込み定める。

◆講ずべき安全管理措置の内容
 ①組織的安全管理措置
  特定個人情報等の適正な取扱いの為に、
  ・責任者と責任、担当者と役割・取扱い範囲、報告連絡体制等
  ・特定個人情報ファイルが取扱規程等に基づいて運用されていることを確認できる記録
  ・特定個人情報ファイルの取扱状況を確認するために記録する手段・方法の整備
  ・情報漏えい等の発生に対する対応体制のを整備
  ・取扱状況を把握し安全管理措置の評価見直し・改善
  等の組織的な取組を行うことが必要になります。

 ②物理的安全管理措置
  特定個人情報等の適正な取扱いの為に、特定個人情報ファイルを取扱う情報システムを管理する区域、特定個人
  情報帆等を取扱う事務を実施する区域を明確にして入退室を制限、機器、電子媒体及び書類等の盗難又は紛失等
  を防止するための対策、持出す場合の安全な方策、保管期間等を経過での削除又は廃棄等の物理的な取組を行う
  ことが必要になります。

 ③技術的安全管理
  特定個人情報等の適正な取扱いの為に、下記のような技術的取組を行うことが必要です。
  ・個人番号と紐付けてアクセスできる情報の範囲、アクセスできる情報の範囲、情報システムを利用できる
   担当者等、事務担当者が取扱う特定個人情報 ファイルの範囲を限定する
  ・外部からの不正アクセスまたは不正ソフトウエアから保護する仕組み
  ・特定個人情報等を外部に送信する場合の通信経路における情報漏えい等の防止
  等の技術的な取組を行うことが必要になります。

特定個人情報の安全管理の方法は、一般的な個人情報の安全管理と本質的変わるところはありません。
違いは、法律的に決められた用途以外での提供、取得が認められず、取り扱いを行う人員を限定し、且つ、その処理に従事することがない「人」から 分離し、
閲覧したりできないようにすることが必要な点です。
このことは、日頃、個人情報保護の仕組み造りを確実に行っている企業においては、 その上に特定個人情報にのみ要求される事を追加すればよく、対応へのハードルは低くなることを意味しています。

一方、日頃、何も対応していない企業・団体においては、制度への対応、その保護がより大きな負担となってまいります。
個人情報取扱事業者の定義から外れていた企業・団体も、特定個人情報保護の義務から逃れることはできません。
マイナンバー制度への対応を待つのではなく、いまからでも通常の個人情報保護の取組を充実させ、しっかりとした企業の経営基盤を造り上げてゆくことを推奨いたします。

◆罰則の強化
 正当な理由なく特定個人情報ファイルを提供したとき、不正な利益を図る目的で個人番号を提供、盗用したとき、
 人を欺く等して個人番号を取得したときの 罰則が新設されている。
 「4年以下の懲役若しくは200万円以下の罰金又は併科」などの罰則が定められており、日本国外における行為にも
 適用されます。

 個人情報保護法の類似規定で「6か月以下の懲役又は30万円以下の罰金」の違反行為が「2年以下の懲役又は50万円
 以下の罰金」のように、 個人情報保護法での処罰対象と類似の行為でも刑の上限が引き上げられています。

 罰則が規定された各行為について、それが法人等の業務として違反行為があった場合には、違反行為者とその法人
 の両方が罰せられます。

3回にわたり来年1月からスタートするマイナンバー制度(社会保障・税番号制度)に関する情報お届けしてまいりましたが、十分にお伝えできていないことも
ありますので、遠慮なく当協会にお問い合わせください。

一般社団法人 日本個人情報管理協会 専務理事 内山和久

◆参考情報◆

内閣官房 マイナンバー 社会保障・税番号制度
特定個人情報保護委員会
特定個人情報の適正な取扱いに関するガイドライン(事業者編)
マイナンバーの記載が必要になる提出書類税関係新様式(案)

年金関係、雇用保険関係、健康保険関係の新様式(案)




お問い合わせ先

TEL. 03-6841-3814(代表)
e-mail. info@koshikivaluehub.jp
コシキ・バリューハブ株式会社  プロフェッショナルサービス担当