マイナンバーの保管の際の注意点

マイナンバーの取得作業も大変ですが、個人情報のため取得してからの管理が重要であることは言うまでもありません。どのような点に留意して保管すればいいか調べました。

保管する際に実施する事務処理とは

情報の漏洩や書類の紛失が起こらないように配慮しなくてはいけないと分かっていても、いざ実務としてどのように保管・管理を行えばいいか悩んでしまいます。
どのようなポイントを押さえて管理徹底を行えばいいのか勉強していきましょう。
 (45396)

マイナンバーは、社会保障、税、災害対策の手続のために、国や地方公共団体、勤務先、金融機関、年金・医療保険者などに提供するものです。こうした法律で定められた目的以外にむやみに他人にマイナンバーを提供することはできません。
  他人のマイナンバーを不正に入手したり、他人のマイナンバーを取り扱っている人が、マイナンバーや個人の秘密が記録された個人情報ファイルを他人に不当に提供したりすると、処罰の対象になります。
保管のために実施する通常の事務の例

No.1 適正な保管
取扱の制限やセキュリティの強化などの体制を整備する必要があります。

No.2 使用実績の記録
取扱規程に基づく運用状況を確認するために記録が必要です。

No.3 取扱状況の把握
定期監査等により、取扱状況を把握し、評価・見直しを行ないます。

大きなポイントはこの3点のようです。
取り扱う際の取り決めやセキュリティ強化などの「整備」だけでなく、「利用状況の記録」や、「定期的な見直し」が必要なのですね。
では、この3点についてそれぞれ詳しくみていきたいと思います。

1 適正な保管のために・・・

 (45399)

ガイドラインでは個人番号を取扱う情報システムを管理する区域を「管理区域」とし、個人番号を取扱う事務を実施する区域を「取扱区域」とし、それぞれの物理的安全管理措置の例示をしています。

「管理区域」の場合は、管理区域への入退室の管理をICカードやナンバーキー等により行うことなどが示されています。

「取扱区域」の場合は、壁又は間仕切り等の設置及び座席配置の工夫(取扱担当者がパソコンで個人番号の取扱いを行う場合その画面が覗き見される可能性が低くなるように座席を配置するなど)などが示されています。

さらに機器および電子媒体等の盗難防止についても物理的安全管理措置が例示されており、個人番号の保管が外部の電子媒体で管理されている場合は、施錠できるキャビネットや書庫等に保管することとされています。個人番号がサーバーやパソコン等の機器に保管されている場合は、セキュリティワイヤー等により固定することが例示されています。

情報システムの場合には、どのような人物が管理区域に入室したのかということが把握できる体制を、事務を実施する区域の場合は、情報が外部に漏れないような配置の工夫を行わなくてはいけないことがわかりました。

2 使用実績の記録をつける

 (45400)

●記録すべき内容
 《運用状況を確認するために記録する項目の例》
 項目
 使用日時
 使用者
 使用目的
 削除・廃棄証明

●記録が必要なタイミング
 記録は、個人番号を取扱う事務全般で必要になります。
 《記録するタイミングの例》
  システムの場合
  個人番号を取扱うシステムにログインした時
  個人番号の入力を行った時
  個人番号の閲覧、印字等のために出力、表示した時
  個人番号の削除を行った時
  個人番号を含む記録媒体を持出/返却する時
  紙の場合
  個人番号を帳票に記載した時
  個人番号が記録されている資料の確認を行った時
  個人番号の廃棄を行った時
  個人番号を含む書類を持出/返却する時

このように明示されると分かりやすいですね。
毎回の作業なので面倒に感じてしまうこともあるかもしれませんが、この作業を定着させることで利用状況の把握がだいぶ行いやすくなります。

3 定期的な取扱状況の把握

 (45403)

【取扱状況の把握及び完全管理の見直し】
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組みます。
 
 (a)特定個人情報等の取扱状況について、定期的に自ら行う点検、又は他部署等による監査を実施する。

 (b)外部の主体による他の監査活動と合わせて、監査を実施することも考えられます。

中小規模事業者における対応方法
事業主など責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行います。

このような上記の3つのポイントを押さえて管理に取り組むことで、個人情報の安全確保を行うことができます。導入の時にしっかり体制を整えながら、社員の理解を深めていくことが大切だと思います。