マイナンバーの適切な管理と各種の安全管理措置

個人情報保護法ではプライバシーポリシーを公表することが義務でしたが（個人情報保護法第18条第1項）マイナンバー法においては規定されていないため、個人情報保護法が適用されることとなり利用目的を明示しなければなりません。

企業は、マイナンバー及び特定個人情報の漏洩、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。

法律で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄又は削除しなければなりません。

社会保障及び税に関する手続書類の作成事務の全部又は一部部の委託をする者は、委託先において、法律に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。

システムログや利用実績として記録することによって実際の運用状況が取扱規定に基づいたものであることを目に見える形で残すことが可能となります。
中小規模事業者の場合、システムログを取らずに作業日報等によって取り扱った内容を記録する以外にも、あらかじめ作成したチェックシートに対して事務作業を行なう方法によって記録を保存するという安全管理措置を講じることができます。

マイナンバーの安全管理において、特にコストがかかると予想されるのが物理的安全管理措置と技術的安全管理措置です。
そのため、事業者・団体の実情に合わせて、効率の良い設備等投資を行う必要があります。
また、マイナンバーをはじめとする特定個人情報の管理を紙媒体メインで行うのか、電子的なデータメインで行うのかによっても、これらの措置はかなり変わってきます。

ひとつめの理由は、マイナンバー取扱事務においてはその性格上、PCやコピー機など、容易にファイルを複製することが可能な機器を利用する機会が多くなることが挙げられます。
そのため、管理区域において不正な複製またはデータのマッチングなどが行われやすい状況を招いてしまいます。

ふたつめの理由は、マイナンバー取扱事務は複数の種類があり、その事務を取扱う担当者がそれぞれに異なっていることが少なくないことです。
異なる事務取扱担当者が同じ区域で作業すると、自身の取扱範囲ではない事務について目にする機会が増え、その分、情報漏えいの危険性が高まります。

従来の「右に倣え」的なセキュリティ対策ではなく、「我に倣え」のセキュリティ意識を持つ必要がある。番号法ガイドラインの要となる技術的安全管理措置の「外部からの不正アクセス対策」に記載されている例示は、「ファイアウォールの導入」「アンチウイルス対策」「パッチ適用」という最低限の対策しか言及されていない。例示の対策のみの対応だけでは、世界的に繰り広げられているサイバー攻撃に対し、マイナンバーを守ることは到底できない。

マイナンバーを取り扱う人事、経理といった部門に対し、標的型のフィッシングメールなどが届くことは容易に想像できるが、そのメールに含まれるURLや添付ファイルにしても、例示に言及されているような既存のフィルタリングでは脅威を検知できない可能性がある。今後マイナンバーに絡んだ情報漏えいが発生した時点で確実にガイドラインの不足点が追求され、その内容が改定されるだろう。