マイナンバー制度に潜むリスク

マイナンバー制度の施行につき、そのリスクについて紹介してみたいと思います。

予想されるリスク

番号制度に対する国民の懸念
1.個人番号を用いた個人情報の追跡・名寄せ・突合が行われ、集積・集約された個人情報が外部に漏えいするのではないかといった懸念
2.個人番号の不正利用等(例:他人の個人番号を用いたなりすまし)により財産その他の被害を負うのではないかといった懸念
3.国家により個人の様々な個人情報が個人番号をキーに名寄せ・突合されて一元管理されるのではないかといった懸念

【出典】内閣官房・内閣府・特定個人情報保護委員会・総務省・国税庁・厚生労働省「マイナンバー 社会保障・税番号制度 民間事業者の対応 平成27年5月版」より抜粋(資料PDF)

個人情報を扱う側(管理する側)の人間の管理方法によっては、個人情報や財産が漏れ出す可能性があります。少なくとも絶対にないとは言えないでしょう。

制度面における保護

制度面における保護措置
1.番号法の規定によるものを除き、特定個人情報(マイナンバーをその内容に含む個人情報)の収集・保管、特定個人情報ファイルの作成を禁止(番号法第20条、第28条)
2.特定個人情報保護委員会による監視・監督(番号法第50条~第52条)
3.特定個人情報保護評価(番号法第26条、第27条)
4.罰則の強化(番号法第67条~第77条)
5.マイナポータルによる情報提供等記録の確認(番号法附則第6条第5項)

システム面における保護措置
1.個人情報を一元的に管理せずに、分散管理を実施
2.個人番号を直接用いず、符号を用いた情報連携を実施
3.アクセス制御により、アクセスできる人の制限・管理を実施
4.通信の暗号化を実施

【出典】内閣官房・内閣府・特定個人情報保護委員会・総務省・国税庁・厚生労働省「マイナンバー 社会保障・税番号制度 民間事業者の対応 平成27年5月版」より抜粋(資料PDF)

 (42702)

悪用するとどうなるか

罰則規定

罰則規定

内閣官房による罰則規定の一覧表
個人情報保護法よりも罰則の種類が多く、法定刑も重くなっています。

企業はどのような対策を講じるべきか

リスクの最小化

マイナンバーの個人番号は《特定個人情報》であり、違反者には厳しい罰則があります。
企業の誹議によるリスクを回避するため、全部署・全従業員が当事者であることを意識し、 厳重なセキュリティの元でマイナンバーを取り扱う必要があります。

まずは、内閣府 特定個人情報保護委員会(PPC)が提供するガイドラインに沿ってマイナンバーの受け入れを準備するところからのスタートも一案。PPCでは、「中小企業向け はじめてのマイナンバーガイドライン」「小規模事業者必見! マイナンバーガイドラインのかんどころ」「社長必見!! ここがポイント マイナンバーガイドライン」など、分かりやすく解説した資料を配布している。こうした情報は参考になるはずだ。
危機管理のモデル

危機管理のモデル

中小・零細企業で、そこまでの設備投資ができない場合、アナログで保管することも考えられます。適切に保管するうえで重要なのは、以下の3つです。

 マイナンバーに関する特定個人情報を扱う人を限定すること
 いつ、誰が、どのように利用したかが分かるようにすること
 盗難や紛失などが、簡単に行われないような場所に保管すること

番号法及びガイドラインでは、事業者が安全管理措置を策定する際に、次の手順で検討することを求めています。
1.マイナンバー取扱事務の範囲の明確化
2.マイナンバー取扱事務を行うために必要な、特定個人情報等の範囲の明確化
3.マイナンバー取扱事務を担当する者の明確化

このように事務内容・扱われる情報・扱う担当の三つの分野に分けて、検討を始めるのです。
それでは、例を挙げて検討していきます。

事業者だけでなく、従業員ひとりひとりにも情報の管理の責任があることを自覚させることも事業者としてとても大切な役割の一つです。
加えて、情報管理のシステムを明確化し、情報を公的な場所から保護しなければならないからこそ
、情報管理において誰がどのような責任を負うことになるのか必ずチェックしておきましょう。

まとめ

まずは「基本方針」と「取扱規程」を策定すること。さらに、事務フローにそって手順を整理して、可能であれば「手順書」を作ることが、実務レベルでのリスクを抑えることにつながります。すでにこうした準備ができているという企業・団体の場合も、最終点検を十分に行うことが大切です。

その中で、マイナンバーを取り扱う人を最少人数にすること。そして、われわれのような社会保険労務士などにマイナンバーに関係する事務を委託される場合や、収集や管理のクラウドサービスなどを利用する場合には、外部との窓口となる方もできるだけ限定することが大切です。外部委託先とのやりとりの中で窓口が複数あると、それだけリスクが高まりますし、万が一漏洩が起きてしまった場合、再発防止のための原因追究も難しくなるからです。

このような手順を踏むことは、最低限企業に必要とされると言えるでしょう。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする