【中小企業】情報漏洩には罰則があります！

マイナンバーは通常の個人情報よりも厳格な取り扱いが要求されます。その中でも、マイナンバーを取り扱う上で、必ず気を付けないといけない3つの制限があります。3つの制限とは、利用、提供、収集・保管の制限です。

従業員などから収集したマイナンバーは、電子データであれ、書面であれ、マイナンバーの記載が義務付けられている書類の作成に利用するまで、保管しておくことになります。 源泉徴収票などの作成を利用目的に収集した従業員などのマイナンバーは、雇用が続く限り継続的に利用されることが予定されますので、保管し続けることができます。

1. 正当な理由なく特定個人情報ファイルを提供した場合
4年以下の懲役か200万円以下の罰金又はこれらの併科2. 不正利益目的で個人番号を提供・盗用・漏えいした場合

3年以下の懲役か150万円以下の罰金又はこれらの併科
3. 人をあざむく、暴行、施設への侵入など不正行為で個人番号を取得した場合
3年以下の懲役又は150万円以下の罰金

4. 偽りなどの不正手段により個人番号カードを取得した場合
6ヶ月以下の懲役又は50万円以下の罰金

早い話が、責任者と事務担当者を決めて、それ以外の人はマイナンバーにアクセスできないように制限するということです。
例えばマイナンバーを従業員から紙に書いてもらって集めた場合、施錠できる金庫やロッカーに入れて、さらにその金庫やロッカーの設置場所を物理的に限定した上で、そのエリアへの出入りおよび金庫やロッカーを扱える人を限定し、取り扱いの際には記録を残す、不要になったらシュレッダーなど安全な形での廃棄をする、といった管理が必要になってくることでしょう。

マイナンバーによる管理はパソコンで行うのが一般的だろう。そのパソコンにウィルスやマルウェアに感染していた場合、安全性は極めて低いと判断される。その対策として、まずは欠かせないウィルス対策ソフトはインストールしておこう。もちろんウィルス対策ソフトは「常に最新化」してあることが最低条件だ。

PC業務管理ソフトを利用すると、パソコンの操作記録を取ることができる。メールの履歴・インターネット履歴・ファイル操作履歴・印刷履歴があれば、「いつ・誰が・何を・どのように」操作したかという記録を残せるので、導入しておこう。

また、PC業務管理ソフトは社内の監視という抑止力も働くため、情報漏えいの原因でもある内部不正を抑止する効果も見込める。

事業者は、個人番号関係事務の全部または一部を外部に委託することができます。委託を受けた事業者は、委託元の事業者の許諾を受けた場合に限り、再委託することができます。

国のガイドラインは、マイナンバーの管理に業務委託を活用できることを前提に置いて、そのための条件を詳細に記述しています。上述の通り、事業者は個人番号関係事務のすべてを外部に委託することもできます。マイナンバーを収集し本人確認を行う事務も、外部に委託できます。

その際には、「委託先は委託元の許諾を得た場合に限り再委託を行うことができる」ことにご注意ください。これを別の視点から見ると、「委託元は再委託先に関しても監督責任をもつ」ことを意味します。

利用が終わった個人番号はできるだけ速やかに廃棄する必要がありますが、廃棄作業を行うまでの期間については、明確な時期は定められておりません。「毎年度末に行う」等、会社が判断することが認められていますので、廃棄時期については情報管理の安全性や事務の効率性等を勘案して会社ごとで決めることができます。
マイナンバーの保管は将来の廃棄事務を想定し、年次別に管理したり、保管年限を明記するなど、廃棄を前提とした保管体制が必要となります。