マイナンバーの利用制限と安全管理措置とは
施行まで残り1年を切ったマイナンバー制度。今年の10月には全国民・全企業に番号が通知される。前回の「今知っておきたい、マイナンバー制度が企業にもたらす影響」でも解説したとおり、マイナンバーを含む個人情報は特定個人情報として扱われ、情報漏えいした場合厳しい罰則規定が設けられている。そのため、企業にはマイナンバーの厳重な管理が義務付けられている。
厳重に管理といっても、具体的にどのような管理が必要なのか? 企業におけるマイナンバーの利用や管理方法は、ガイドラインに定められている。そもそもマイナンバーの利用範囲は、番号法という法律によって「社会保障」、「税」及び「災害対策」に関する事務のみと限定されており、それ以外での利用や提供は法律上禁止されている。また、マイナンバー情報の漏えい防止や滅失防止策として「安全管理措置」というものを検討する必要があるとガイドラインには記されており、検討するにあたりマイナンバーを取り扱う事務の範囲や担当者をあらかじめ明確にしておくことが重要であるとも言われている。
番号法は、個人番号を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限している。したがって、事業者は、個人番号及び特定個人情報の漏えい、滅失又は毀損の防止等のための安全管理措置の検討に当たり、次に掲げる事項を明確にすることが重要である。
A 個人番号を取り扱う事務の範囲
B 特定個人情報等の範囲
C 特定個人情報等を取り扱う事務に従事する従業者
(出典:内閣官房ホームページ 社会保障・税番号制度 「特定個人情報の適切な取り扱いに関するガイドライン(事業者編)」より)
全企業対応必須の4つの「安全管理措置」とは
ガイドラインで定められている安全管理措置は「組織的」「人的」「物理的」「技術的」の4つの分野に分かれており、それぞれマイナンバーを安全に管理するための具体策が定められている。以下に分野ごとに対策すべきことを一部抜粋してみた。
○組織的・人的安全管理措置
・組織的安全管理措置:「組織体制の整備」「利用ログの記録」
・人的安全管理措置:「取扱担当者の監督・教育」
このように、組織的・人的安全管理措置では、企業におけるマイナンバーを管理する体制やルールを整え、マイナンバー情報が含まれているデータファイルの利用や外部デバイス等の取扱状況を把握しなければならない。
○物理的・技術的安全管理措置
・物理的安全管理措置:「取扱区域の管理」「電子媒体を持ち出す場合の漏えい等の防止」
・技術的安全管理措置:「マイナンバー情報へのアクセス制御」「外部からの不正アクセス等の防止」
さらに物理的・技術的安全管理措置では、マイナンバー情報の利用区域を限定したり、マイナンバー情報の流出を防ぐためのセキュリティ対策が必要である事がわかる。
