マイナンバーの安全管理措置

特定個人情報（マイナンバーを含む個人情報）が外部に漏れたり、なりすましが起きたり、マイナンバーが不正に利用されることがあってはいけません。

そのような不正を防止するために、法律（「行政手続における特定の個人を識別するための番号の利用等に関する法律」）により、マイナンバーは厳格に管理することが定められています。

安全管理措置

企業は、マイナンバーや特定個人情報を漏えい、滅失、毀損することのないよう、必要かつ適切な安全管理措置を講じないといけません。

ガイドラインでは、基本方針の策定、取扱い規程の策定、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置が示されています。

なお、社員数が１００人以下の「中小規模事業者」については、特例が設けられている項目もあります。各項目について簡単に紹介しておきます。

基本方針の策定

例えば、法令を遵守すること、安全管理措置、問い合わせの窓口などを定めて、特定個人情報の保護に関する基本方針を明確にします。

基本方針の策定は、義務付けられていることではありませんが、社員への周知や研修を行いやすくなります。

取扱い規程の策定

社員数が１００人超の企業は、特定個人情報の具体的な取扱いを定めた取扱い規程を策定しないといけません。そして、取扱い規程により、特定個人情報を取り扱う際のマニュアルや事務フローなどの手順を定めて、社員が容易に参照できるようにする必要があります。

なお、中小規模事業者については、特定個人情報（マイナンバーを含む個人情報）の取扱いを明確にすることが定められています。

組織的安全管理措置

特定個人情報を取り扱う担当者と責任者を明確にして、担当者以外の者が特定個人情報を取り扱うことがないよう組織体制を整備する必要があります。

なお、中小規模事業者については、責任者と担当者を区分することが望ましいとされています。また、特定個人情報の取扱い状況が分かる記録を保存することも定められています。

人的安全管理措置

企業は、取扱い規程に基づいて、特定個人情報を適正に取り扱うよう周知徹底するとともに、担当者に対して、必要かつ適切な監督及び教育を行わないといけません。

物理的安全管理措置

特定個人情報（マイナンバーを含む個人情報）の漏えいや盗難を防止するために、担当者以外の者が特定個人情報に接することがないようにする必要があります。

例えば、壁やパーテーションを設置して特定個人情報を取り扱う区域を特定したり、のぞき見されないよう座席の配置を工夫したり、鍵が付いたキャビネットに書類を保管したりすることが考えられます。

また、シュレッダーなど復元が不可能な方法で、特定個人情報を廃棄したときは、廃棄した記録を保存しないといけません。

技術的安全管理措置

担当者を限定するためにパスワードを設定したり、特定個人情報を取り扱う機器を特定して利用者を担当者に限定したりして、担当者以外の者が特定個人情報にアクセスできない仕組みにする必要があります。

また、ウィルス対策ソフトを導入して、外部からの不正アクセスを防止することも大事です。

委託

マイナンバーを利用する事務を委託する場合は、委託先において、委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう「必要かつ適切な監督」を行わないといけません。

つまり、委託者は、委託先の設備、技術水準、社員に対する監督や教育の状況、その他委託先の経営環境等をあらかじめ確認しないといけません。

また、委託契約の内容として、秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、社員等に対する監督及び教育、契約内容の遵守状況について報告を求める規定等を盛り込まないといけません。

そして、委託者は、委託先だけではなく、再委託先、再々委託先に対しても間接的に監督義務を負います。なお、委託を受けた者が再委託をする場合は、最初の委託者の許諾を得る必要があります。

（２０１７／７作成）

マイナンバーの安全管理措置