【マイナンバーのQ＆A】金庫の準備やセキュリティ強化が重要！⑤「事業者の特定個人情報漏えい事案の対応」をより詳しく

２：番号法違反の事案又は番号法違反のおそれのある事案を把握した場合の報告

Ｑ２－５
特定個人情報を処理しているパソコンがウイルス感染したことが発覚した場合、重大事案にある「①情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合（不正アクセス又は不正プログラムによるものを含む。）」に当てはまるのですか。
Ａ２－５
「情報提供等事務を実施する者の情報提供ネットワークシステム」とは、番号法第19条第７号の規定による特定個人情報の提供の求め又は提供に関する事務を情報提供ネットワークシステムを使用して行うことを前提とした場合ですので、当該情報提供ネットワークシステムに接続しない事業者において使用している情報システムからの情報漏えい等は該当しません。

マイナンバーの送付開始がせまるなか、マイナンバー制度に対応し、大手ITベンダーから給与などのパッケージソフトにいたるまで、様々なシステムが発表されています。中小企業で従来から給与システムを利用している場合、多くは同じベンダーの給与システムのマイナンバー対応のバージョンアップを待ち、その内容に応じてマイナンバーを管理するように予定されているのではないかと思われます。

Ｑ２－６
重大事案にある「③不特定多数の人が閲覧できる状態になった場合」とは、具体的にどのような場合ですか。また、特定個人情報が記載されている書類を紛失した場合も当てはまるのですか。
Ａ２－６
「不特定多数の人」は、事業者（委託先で特定個人情報を取り扱う従業者を含む。）以外の者が前提ですので、事業者において、誤ってインターネット上に特定個人情報を掲載した場合や情報システムに保存した特定個人情報が事業者の外部から容易にアクセス可能な状態になっていた場合を想定しています。なお、アクセスログなどにより閲覧がなかったことを確実に確認できた場合には、「重大事案」には含まないものと解されます。また、特定個人情報が記載されている書類を紛失した場合は、ここでの「不特定多数の人が閲覧できる状態になった場合」には含まれませんが、他の重大事案の類型に該当しないか確認する必要があります。

特定個人情報も個人情報の一部なので、原則として個人情報保護法が適用されます。さらに特定個人情報は、マイナンバーによって名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を番号法で上乗せしています。また、番号法の保護措置は、個人情報保護法が適用されない小規模な事業者にも適用されます。

マイナンバーを施錠管理していたとしても、鍵の管理者が曖昧であれば、安全な保管とはいえない。そのようなことがないよう、取扱者・責任者を明確化しよう。