マイナンバーの管理、保護に委託先を用意するのも一つの手段です。その選定基準を設けるようにしましょう。
マイナンバーの導入に伴って
via www.photo-ac.com
マイナンバー制度とは国民に12桁のオリジナルの番号を付与して、行政などの手続きがスムーズに行えるように考えられた制度です。
平成27年10月から始まったこの制度は社会保障、税、災害対策において利便性があがりすぐに必要な手続きを行えるようになっています。
マイナンバー制度でよく言われることが安全性の面です。
悪意のある第三者によって個人情報が漏れることが懸念されています。
そこで安全にマイナンバー制度を利用できるように制度面、システム面から漏洩を防ぐ対策がとられています。
マイナンバーを含む個人情報の収集を禁止していますし、第三者機関となる特定個人情報保護委員会が監視しています。
システム面からは一元管理して情報を集中させるのではなく、税金については税務署で扱い年金については年金事務所で行うといった分散型の管理を行っています。
平成27年10月から始まったこの制度は社会保障、税、災害対策において利便性があがりすぐに必要な手続きを行えるようになっています。
マイナンバー制度でよく言われることが安全性の面です。
悪意のある第三者によって個人情報が漏れることが懸念されています。
そこで安全にマイナンバー制度を利用できるように制度面、システム面から漏洩を防ぐ対策がとられています。
マイナンバーを含む個人情報の収集を禁止していますし、第三者機関となる特定個人情報保護委員会が監視しています。
システム面からは一元管理して情報を集中させるのではなく、税金については税務署で扱い年金については年金事務所で行うといった分散型の管理を行っています。
マイナンバー制度では、行政機関だけでなく、民間事業者にも特定個人情報(マイナンバーをその内容に含む個人情報)の適正な取扱いが求められます。マイナンバーは法律で定められた範囲以外での利用が禁止されています。
マイナンバーは適切に取り扱うようにしましょう。
個人情報保護法より罰則が重い
番号法は、数年前に施行された個人情報保護法より罰則が強化されていて、最高で、4年以下の懲役、200万円以下の罰金が定められています。過失により、特定個人情報等をうっかり漏らしてしまった場合は、企業に罰則が科されることはないですが、損害賠償を請求される可能性はあります。
通常の個人情報よりも罰則規定が厳しいです。
詳しくは「特定個人情報」の規定を確認してみてください。
詳しくは「特定個人情報」の規定を確認してみてください。
問題発生の報告について
事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。(1) 事業者内部における報告、被害の拡大防止責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(3) 影響範囲の特定(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。
漏えいなどの事案が発生した場合、企業には国へ報告する義務があります。
取り扱いの手順について
事務処理の必要性と法定保存期間を踏まえて、マイナンバーを廃棄又は削除する時期を決めて管理しましょう。また、廃棄や削除の具体的な方法についても、実務の手順として決めておきましょう。削除・廃棄の記録を保存する必要もあります。また、廃棄等の作業を委託する場合には、委託先が確実に削除・廃棄したことについて、証明書等により確認することも必要です。これらも実務の手順に落とし込みましょう。
実務レベルまでマニュアル化をすることが必要です。
特に委託先にやってもらう場合、それを事前に確認しなければなりません。
特に委託先にやってもらう場合、それを事前に確認しなければなりません。
委託先を選考する
当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
適切に管理してもらえるか、基準を用意してから委託をしましょう。
委託先を選んだ企業の責任です。
委託先を選んだ企業の責任です。