取扱区域はどのように作る？担当者以外マイナンバーを見れないよう工夫しよう！

取扱い区域は、社内で社会保険や、給与、税務及びマイナンバーの取得、廃棄に関する事務を行なう場所です。専用の部屋があれば、その部屋への施錠となりますが、一般的な中小企業ではそのような場所も確保しづらいと思います。その際には、部屋の一番端（奥）を取扱区域として、高さ１８０ｃｍ程度のパーティションなどで区切る必要が有ります。

管理区域：マイナンバーファイル関連のシステムやファイルがあるサーバールーム等
取扱区域：マイナンバーの記載された書類を取り扱う場所。

a 特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファ イルを取り扱う情報システムを管理する区域(以下「管理区域」とい う。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱 区域」という。)を明確にし、物理的な安全管理措置を講ずる。

≪手法の例示≫
* 管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ 持ち込む機器等の制限等が考えられる。
* 入退室管理方法としては、ICカード、ナンバーキー等による入退室管理シ ステムの設置等が考えられる。
* 取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及 び座席配置の工夫等が考えられる。

このように管理区域と取扱区域を区別する理由はどこにあるのでしょうか。
ひとつめの理由は、マイナンバー取扱事務においてはその性格上、PCやコピー機など、容易にファイルを複製することが可能な機器を利用する機会が多くなることが挙げられます。
そのため、管理区域において不正な複製またはデータのマッチングなどが行われやすい状況を招いてしまいます。
ふたつめの理由は、マイナンバー取扱事務は複数の種類があり、その事務を取扱う担当者がそれぞれに異なっていることが少なくないことです。
異なる事務取扱担当者が同じ区域で作業すると、自身の取扱範囲ではない事務について目にする機会が増え、その分、情報漏えいの危険性が高まります。
こうした理由から、番号法では「保管と利用」の区域を明確に分ける措置を行うよう、要請していると考えられます。

以上から分かる通り、入退室管理は管理区域にのみ要求されており、取扱区域においてはその実施が義務付けられているわけではありません。
しかし、そもそもオフィス内に予期せぬ者が立ち入ること自体、マイナンバーの安全管理という点では避けるべきことです。
そうなると、オフィスへの入退館については、記録簿等での管理を行い、管理区域についてはICカードやナンバーキー等による入退室管理を、そして取扱区域に関しては座席配置等の工夫により、関係者以外を物理的に遮断していくことが、管理方法の基本形として考えることができます。
加えて、管理区域、取扱区域には業務上許可されたもの以外、記録機能のついた機器や媒体の持込を禁止し、入退室時に所持品チェックを行うことも重要です。

要は、壁、間仕切り、あるいは、ついたてなどで明確にわかるようにした方が望ましいというものです。壁や間仕切りは義務ではないのですが、大がかりでなくても、何かしら周りの人にも分かるように明示的な工夫をした方が良いでしょう。

少なくともマイナンバー担当者以外のスタッフの往来が少ない場所を「取扱区域」と指定すべきで、後から覗き込みされる可能性が低くなるような座席配置に工夫することが必要になります。

これまで、私はいくつかのコールセンター、BPOの事務所を見ていますが、個人情報を取り扱う事務作業をしている時は、「ただ今、危険作業中」という円筒形や三角柱の卓上POPのようなものを立てている光景を見てきました。これは、「今は個人情報を取り扱っているので、話しかけたり、近寄ったりしないで下さい」という意味のものです。

機械やコンピュータはテストをしっかりと実施していれば、間違いを起こしませんが、人はちょっとした雑音や気の緩みでミスを犯してしまいます。

マイナンバーは、一般の社員はあまり見るべきではない危険物ですので、「取扱区域」を定めた上で、マイナンバー作業をしている時は他者を近づけない安全管理措置は、必要になってくるでしょう。