従業員から収集したマイナンバーはきちんと管理する必要がありますが、そのつもりでも盲点となっていることもあるかもしれません。
企業が見落としがちなマイナンバーの盲点
2016年になって個人番号制度が日本でもはじまりました。全事業者が対象なので、中小企業でもマイナンバーを従業員から収集することになると思います。ここではそんなマイナンバーの管理について盲点となりやすい点を調べてみました。また、政府のガイドラインもあるので、今一度不明な点がないかチェックしてみてください。
via www.pakutaso.com
個人番号・特定個人情報を保護するために、必要かつ適切な安全管理措置が必要です。
個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な安全 監督も行わなければなりません。
誰も言わない、マイナンバー最大の盲点!
しかし、そのような企業でも、マイナンバーの安全管理措置である「情報の破棄」には、要注意です!!
例えば、扶養控除申告書などのマイナンバーを含む特定個人情報は、今後は、必要がなくなれば、きちんと破棄しないといけないのです。
この「情報の破棄」という考えは、個人情報保護法にはなかったものです。
マイナンバー制度では、社員のマイナンバーだけを管理しておけば良いように思われますが、実はそうではありません。
マイナンバー制度に対応する際の、意外な落とし穴をご説明します。1.社員番号をマイナンバーにするなど、社員管理のために使うべからず
マイナンバー(個人番号)は、用途が限定されています。「一生変わらないので便利」だからといって、マイナンバーを流用(社員番号にする、パスワードにするなど)してはいけません。
外部委託だからと言って安心してはいけない
マイナンバー関連業務を外部に委託する場合、責任は依頼先の事業者側に移ることになります。このケースでは管理の義務は委託した業者に移ります。ただ、依頼先の選択や監督を怠ってしまうと、依頼した側の企業も責任が問われる可能性があります。
via www.pakutaso.com
またマイナンバー情報を含む業務の外部委託は、情報管理の盲点となりやすいので、注意が必要です。中小企業には、担当者と担当者の人的なつながりを重視し、正式な業務委託契約、機密保持契約などを締結せずに業務委託を続けているケースが少なくありません。特に委託先から再委託されている業務については、責任の所在もあいまいになりがちです。
意外と盲点になっているのが、マイナンバー関連業務の一部を外部の専門家(税理士や社労士)に委託しているケースです。税理士事務所や社労士事務所の管理体制が十分でないために情報が漏えいした場合、業務を委託した企業の責任が問われる可能性もあります。
システム管理の盲点
マイナンバーを社内で管理する場合、責任は当然会社にありますが、クラウド型のシステムを利用して管理する場合はシステムの保守や運用は事業者側の責任となります。ただ、依頼した事業者を適切に監督をする責任はあるので注意が必要です。
また、データ的なシステムによる管理を自社でする場合は、セキュリティに細心の注意を払う必要があります。管理ソフトやネットワークなどに盲点がないか、しっかりとしたチェックをすることも重要です。
また、データ的なシステムによる管理を自社でする場合は、セキュリティに細心の注意を払う必要があります。管理ソフトやネットワークなどに盲点がないか、しっかりとしたチェックをすることも重要です。
マイナンバーを収集したり、保管したりするクラウド型のシステムを利用する場合、システムの保守・運用は事業者の責任となります。ただし、システム保守・運用業務がマイナンバー制度で定められた個人番号関係事務にあたるかどうかは、個人番号データのバックアップなど、収集・保管されている個人番号の取扱いが発生するかどうかにかかります。したがって、サービス選定時には、サービス事業者に対し個人番号関係事務の委託にあたるかどうかを確認することが重要です。
「これには盲点があります」と日置氏は説明する。それはシステムを保守・運用する担当者に対しての安全管理がシステム改修では機能しないからだ。人事・給与システムの保守・運用担当者は業務上、サーバーやデータベースに管理者権限(特権ID)を使用して直接アクセスする。したがって、その権限を悪用すれば、格納された個人番号の閲覧や変更、削除が可能である。