いよいよ開始のマイナンバー制度！適切な個人情報管理は事業者の義務へ

2016年1月よりマイナンバー制度の利用が開始されました。すべての事業者にとってマイナンバー制度への対応は必須であり、2015年12月末までに行っていなければならないことになっています。しかし、この対応には業務プロセスや情報システムの改修が必要であり、限られた期間内で対応しきれなかったという事業者もあるようです。
事業者が行わなければならない対応の中でも、「個人情報管理」のあり方は特に重要となります。

今回は、事業者が行うべき適切な個人情報管理についてあらためて考えてみましょう。

事業者にとってのマイナンバー制度

マイナンバー制度は「行政手続における特定の個人を識別するための番号の利用等に関する法律（通称マイナンバー法）にて定められ、正式には「社会保障・税番号制度」の名称で呼ばれるものです。
2016年1月より、社会保障、税、災害対策の3分野の行政手続のうち、法律や自治体の条例で定められた行政手続には個人番号（マイナンバー）が必要になっています。
事業者においては、法で定められた社会保障や税などの手続きで従業員や外部の委託先などのマイナンバーの取り扱いが必要となります。その規模にかかわらずマイナンバー制度の義務は全事業者に適用され、さらに特定個人情報であるマイナンバーの保護措置を講じなければなりません。

マイナンバー制度において事業者が実施しなければならないこと

マイナンバー制度の適切な運用のために、事業者は以下の4つを行う必要があります。

1.マイナンバーの収集

社会保障や税の行政手続きのために従業員や外部の依頼先からマイナンバーの提供を受け、それを収集する必要があります。

2.収集のための本人確認

提供されたマイナンバーについてその本人確認をする必要があります。

3.適切なマイナンバー等の個人情報管理

マイナンバーは非常に重要な特定個人情報です。外部への情報漏えいなどが起きないよう対策を取る必要があります。

4.法定調書への記入・提出

法によって定められた行政手続きにおいて申告書や法定調書を提出するにあたり、個人番号や法人番号を記載する必要があります。

マイナンバーは秘匿性の高い情報であるがゆえに、情報管理は特に重視されます。法律で限定的に明記された場合に限りマイナンバーを収集することが可能です。収集したマイナンバーは厳重に保管することが求められると同時に、所管法令に定められた保存期間の後はすみやかに廃棄又は削除しなければなりません。例えば、従業員の退職などによりそのマイナンバーが不要になった際には、原則として7年間厳重に保管した上で、その後はすみやかに復元不可能な形で破棄しなければなりません。つまりその管理は従業員の退職後も一定期間続くのです。

「適切な個人情報管理」のために、事業者はマイナンバー制度施行までに以下の準備が必要とされています。

・社内規程の見直し
・業務ソフト対応
・安全管理措置
・社員研修・勉強会

情報漏えいが起きてしまうと

マイナンバー法では、故意に不正行為を行った場合は直ちに刑事罰が科されます（対して個人情報保護法では、違反行為に対して監督官庁から提示された是正勧告に従わない場合に罰則が科せられます）。刑事罰は不正行為を行った従業員に対して科されますが、雇用している事業者に対しても罰金刑が科せられます。つまり従業員だけでなく、その雇用主である事業者も責任を負うのです。もちろん罰によるダメージだけでなく、事業者としてのイメージダウンも避けられず、その影響は計り知れません。

【マイナンバー社会保障・税番号制度 http://www.cas.go.jp/jp/seisaku/bangoseido/faq/faq5.html に示されている罰則】

外部からの不正アクセスや内部犯行によって情報漏えいを起こしてしまった場合にも、適切な個人情報管理を怠るなどの過失が認められれば刑事責任に問われるとみられています。また、そこに過失はなかったと証明することは容易ではありません。

特定個人情報を守る安全管理措置

政府によって定められた「特定個人情報の適正な取扱いに関するガイドライン（事業者編）（本文及び（別添）特定個人情報に関する安全管理措置）」 （http://www.ppc.go.jp/files/pdf/261211guideline2.pdf ）によって、マイナンバーそのもの及びマイナンバーを含む個人情報は「特定個人情報」として扱われます。法に定められた利用範囲を超えてマイナンバーを利用することや、特定個人情報の外部への提供はむやみにはできません。事業者は収集した特定個人情報を厳重に管理し、その漏えいや滅失、毀損、またその不適切な利用を防ぐ義務があるのです。それに違反した場合には罰則が適用されるのは前述のとおりです。

そのための安全管理措置が「特定個人情報の適正な取扱いに関するガイドライン（事業者編）（本文及び（別添）特定個人情報に関する安全管理措置）」に以下のように記されています。

＜組織的安全管理措置＞

組織体制の整備
取扱規定等に基づく運用
取扱状況を確認する手段の整備
情報漏洩事案に対応する体制の整備
取扱状況把握及び安全管理措置の見直し

＜人的安全管理措置＞

事務取扱担当者の監督
事務取扱担当者の教育

＜物理的安全管理措置＞

特定個人情報等を取り扱う区域の管理
機器及び電子媒体等の盗難等の防止
電子媒体等を持ち出す場合の漏洩等の防止
個人番号の削除、機器及び電子媒体等の廃棄

＜技術的安全管理措置＞

アクセス制御
アクセス者の識別と認証
外部からの不正アクセス等の防止
情報漏えい等の防止

事業者が情報漏えいを防ぐための取り組み

特定個人情報を、適切な安全管理措置によって厳重な管理下におくことは事業者の義務ですが、あらかじめ措置を施した場合にも外部から不正アクセス等の攻撃を受ける可能性はあります。また、人的ミスや事故の発生も想定されます。このような状況下で特定個人情報を守るためには、情報システム側での個人情報管理によって情報漏えいを防ぐ環境、つまり特定個人情報へのアクセスコントロールを備えた情報システム環境の構築が重要と考えられます。具体的には、マイナンバーを扱う必要のある担当者のみが、必要な時のみに必要な情報のみにアクセスできるようなアクセス権限の制限が必要です。
併せて、特定個人情報へのアクセスログを残すことも、意図的な内部犯行を含む不正なアクセスの抑止・発見には欠かせません。アクセスログは情報漏えいを起こしてしまった際に事業者側の情報管理に過失がなかったことを証明するための、必要な情報の一つとなります（事業者に過失がなかったと認められれば、事業者の刑事責任は問われないとされています)。

安全管理措置を実施するためには、システム面とそれを運用する人材・制度面の対応が必要です。これを事業者自身で個別に対応するのはハードルも高く、残された時間も少なくなってしまいます。この状況においては、システム面のハードウェア・ソフトウェア・サービスから社内研修まで、ワンストップでの安全管理措置のサポートを幅広く行える会社にアウトソーシングすることは一つの有効な手段となるでしょう。