マイナンバーは中小企業であっても、収集した後の廃棄義務があります。義務違反があると、罰則を受ける可能性があるため注意が必要です。
マイナンバーには廃棄義務がある
マイナンバー制度が始まります。先日からTVCMなどで告知も始まりましたね。本制度は、国民一人ひとりに唯一無二の番号(マイナンバー)を配付し、その番号によって複数の行政機関に存在する個人の情報を正確に連携させるための新社会基盤制度のこと。
マイナンバーは、平成28年1月から、社会保障・税・災害対策分野の中で法律で定められた行政手続きのみで使われます。将来は様々な分野での活用が想定されていますが、当面はこの3分野のみ。社会保障・税分野は従業員の労務管理に直接かかわりますね。
マイナンバーは中小企業にとっても重要な仕組みになります。
特定個人情報はマイナンバー法で利用目的を明示した上で収集し、必要がある限り保管し続けることができます。個人番号カードの有効期間は10年(※20歳未満については5年)ですが、番号そのものは原則として生涯唯一の番号として取り扱うことになっています。何度も収集する手間を省くために、事務手続きで必要な限り保管し続けることができるとしています。
ガイドラインではまず、「番号法で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、個人番号関係事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければなりません」と記しています。
必要であれば所有し続ける事もある一方で、必要であれば念入りに処理をする必要があります。
具体的な廃棄方法は
「マイナンバーを利用したり、取り扱う事務に従事する者が、正当な理由なく、特定個人情報(マイナンバーを含む個人情報)ファイルを提供」した場合、「4年以下の懲役もしくは200万円以下の罰金または併科(両罰規定あり)」が管理者に課せられます。ですから、社内での重要書類の破棄の方法を管理する必要があります。
こうした背景により、重要書類を確実に破棄できるシュレッダーの需要が高まっています。
次にデータで保管している場合を考えてみましょう。特定個人情報データを保存している電子媒体や機器類は、削除専用のソフトウェアを使用することや、物理的に破壊する手段があります。またデータ復元用システムといった専用の装置を用いなければ復元できない場合、容易に復元できない手段だと考えることができます。
ガイドラインでは「個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することとなります」とし、また、他事業者に委託する場合でも、「削除又は廃棄の作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する必要があります」と他事業者に任せたと言っても、廃棄処分の責任は負っていることを明記しています
処分の記録も重要になります。
どこまで保管していいかわからない場合は目安を参考に
扶養控除等申告書の法定保存期間は7年ですが、この法定保存期間の7年を経過した場合には、マイナンバーを復元できない手段でできるだけ速やかに廃棄又は削除しなければなりません。あるいは、マイナンバー部分を復元できないようにマスキングまたは削除した上で、当該書類の保管を続けるという方法もあります。
また、廃棄や削除の具体的な方法についても、実務の手順として決めておきましょう。削除・廃棄の記録を保存する必要もあります。また、廃棄等の作業を委託する場合には、委託先が確実に削除・廃棄したことについて、証明書等により確認することも必要です。これらも実務の手順に落とし込みましょう。
場合によってはより念入りに処理が必要になる事も
企業や組織の重要情報が漏洩するのは、ネットワーク経由とは限りません。パソコンを廃棄したり、他人に譲渡したりする場合に、搭載されているハードディスクなメディアから情報が漏洩する可能性があります。中古のパソコンに前の所有者が利用しているデータがそのまま残されていたというトラブルが発生しているだけでなく、企業で利用していた形跡のある中古のパソコンを意図的に購入して、そこに保存されているデータを探し出すという方法で機密情報を入手するという手口も実際に使われているようです。
暗号化などでは足りない場合もあるのです。
パソコン上のデータは復元できるような状態は好ましくないので、ハードディスクを物理的に破壊してもらうサービスを外部に委託するのも良いでしょう。
物理的に処理してしまうのが一番確実と言えます。
外部に廃棄を委託する場合は、委託先が確実に削除、廃棄したことを確認するため、証明書等をもらうことを忘れてはなりません。
処理した場合は確実に証明書を貰っておくことも重要です。
ただし、ハードディスクの場合には、外側のケースだけを破壊しても、中にあるディスクが破損していない場合には、ディスクを取り出してデータを復元することも可能なので注意してください。
業者が内部まで確実に処理してくれるかも重要なのです。
via www.scd.ne.jp
より、処理をわかりやすくする方法は?
退職者のマイナンバーには廃棄の期限が設けられています。そこで、紙の書類の場合は退職年度ごとにデータを分類して保管しておくようにすると、必要なときに取り出すことも可能ですし、廃棄する際にもスムーズに処理を行うことができるでしょう。
退職者のマイナンバーが記載された書類もすべて廃棄の対象となりますが、実務的な問題から書類を保管しておきたいという企業もあるかもしれません。
そういった場合も心配は無用です。廃棄しなければいけないのは、あくまでも「マイナンバーが記載されている部分」だけです。該当箇所に復元不可能なレベルまでマスキング処理をしたり切り取ったりなどすれば、書類の残りの部分の保管は認められています。
マインナンバーだけを参照できないようにして、保管しておくことも方法の一つなのです。
via www.pahoo.org