マイナンバー法が始まり、企業は個人情報の取り扱いについての体制を見直す必要が出てきました。その際に実際にすべきことは何でしょうか?
マイナンバーって?
国民の一人ひとりにマイナンバー(12桁の個人番号)が割り当てられ、平成28年1月から、社会保障・税・災害対策の行政手続で使用がはじまります。それに伴い民間事業者も、税や社会保険の手続で、従業員などのマイナンバーを取扱います。
もし外部に漏れてしまったら?
マイナンバーは、個人情報のなかでも「特定個人情報」と呼ばれ、企業も今までの個人情報とは少し違う扱いをしなければならないことは、これまでにお話ししました。ではマイナンバーが漏れるとどのようなことが起こるのでしょうか? たとえばこんなことはどうでしょうか。「他人のマイナンバーさえあれば、他人になりすますことができる。クレジットカードの代わりにマイナンバーを言えば支払いができる???」
「マイナンバーを銀行の窓口で言えばお金が下せる???」正解は、いずれも「×」です。確かに大震災が起こった場合や、緊急時にはこのような特例措置が出るかもしれません。しかし、普段は他人のマイナンバーを入手したからといってすぐに「何か」ができるわけではありません。他人にとっては人のマイナンバーはそれほど意味のあるものではないのです。
それではどうしてマイナンバーの安全管理には国も利用者も気をつかうのでしょうか? それは利用方法如何によっては、この共通番号によってプライバシーの情報との紐付けをすることができてしまうからです。
そのため、マイナンバーを流出させてしまった場合、その企業に対する風当たりは相当強くなり、結果的に信頼を失うことになります。
個人情報保護はもう他人ごとではないのです。
個人情報を管理する区域を設定しよう
特定個人情報等を取扱う区域の管理マイナンバー取扱事務に関与しない者等がマイナンバーに接近することを物理的に回避することで、情報漏えいの危険性を低減させる措置です。
この措置においては、ふたつの区域について理解する必要があります。管理区域
特定個人情報等ファイルを取扱う情報システムを管理する区域
(例)特定個人情報等ファイルが保存されたサーバの設置場所、紙媒体によるファイルが保管されている金庫の設置場所等
取扱区域
特定個人情報等を取扱う事務を行う区域
(例)源泉徴収票作成事務を行っている経理課の区画等このように「保管と利用」について明確に区分して安全管理措置を行うように要請しているのが、番号法及びそのガイドラインの特徴です。
人が安易に入れないよう、管理区域内には入出制限、またスマートホンなどの写真を撮れるものの持ち込みも制限する必要があります。
取り扱い区域では入出管理などは必要ないようですが、外部の人の来室時にマイナンバーを盗み見られないよう仕切りをするように推奨されています。
入退室記録をつけるべき?
特定個人情報等の取扱いに際して、どれくらい厳しく管理するかは、企業の規模によって、また、それぞれの企業によって違ってきます。例えば、大企業であれば、ICカードで入室を制限したりすることも考えられますが、中小零細企業では余り現実的ではありません。特定個人情報等を漏えいしないために、それぞれの企業で、できる範囲の管理をしていれば問題になることはありません。
立派過ぎる取扱規程を作成したとしても、手間が掛かり過ぎたり、内容を理解できなかったりして、規程どおりに実行できなければ意味がありません。管理がゆる過ぎて漏えいし放題ではいけませんが、現実的な内容かどうかは重要なことと思います。
しかし、それなりの規模の企業では区画を設定、入退室を管理しなければ流出の予防になりませんし、また万が一流出してしまった場合の原因の特定が非常に難しくなります。
管理区域にはICカードなどによる入退室管理で物理的に不特定多数が出入りするのを防がなくてはならないようです。
これまで個人情報保護法の対象外であった小規模事業者も例外ではありません。
早急な特定個人情報取り扱い方針を定めなければなりません。