賛否両論あるマイナンバーですが、企業活動においては取り扱うことがほぼ必須になっていますよね。
本記事では、法律の内容にも触れつつ、セキュリティの観点から適切なマイナンバー管理についてお伝えします。
また、セキュリティ担当者様必見、企業が対応するべきセキュリティ対策の対応状況がわかるセキュリティチェックシートを無料で配布しています。ぜひご活用ください。
マイナンバーについておさらい
マイナンバーは国から国民全員に付与されている12桁の番号のことです。
個人の社会保障、祖税、災害対策などに関する情報がまとめられており、利用できる行政サービスは法律で決められています。
2015年10月にマイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)が施行され、企業には厳重な管理が求められます。
マイナンバー管理に関わるマイナンバー法とは
マイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)は、名前の通り、マイナンバー(個人番号・法人番号)にまつわる利用範囲や個人情報保護、罰則などについて記された法律です。
マイナンバー法によると、マイナンバーの目的は、大まかに言うと下記です。
- 効率的な情報の管理、利用及び迅速な情報の授受
- 手続きの簡素化による国民負担の軽減
- 個人情報・特定個人情報の適正な取扱いの確保
また、第三条において、「個人番号を用いて収集され、又は整理された個人情報が法令に定められた範囲を超えて利用され、又は漏えいすることがないよう、その管理の適正を確保すること。」と明記されており、マイナンバーの適切な管理が必須であることが示されています。
企業活動ではマイナンバーの管理が必須になっている
一方、企業活動、特に人事関連の事務ではマイナンバーを会社が職員から取得し、管理することは必須になっています。
例えば入退社手続きについては、下記の内容でマイナンバーの記載が必要であるため、会社またはその委託先がマイナンバーの管理を行っています。
- 健康保険
- 厚生年金保険資格取得・喪失届
- 雇用保険資格取得・喪失届
- 健康保険被扶養者届
- 健康保険扶養者届
- 国民年金第3号被保険者関係届
- 扶養控除等申告書
- 住民税の特別徴収にかかる給与所得者異動届出書
- 退職所得の受給に関する申告書
そのほか経理事務で、外部の専門家に報酬を支払う際に支払調書に記載するため・社宅の賃料をオーナーに支払う際などにマイナンバーを取り扱い管理することがあります。
マイナンバーの管理を法令・ガイドラインに従い、適切に行うことが企業活動においては欠かせません。
マイナンバー管理の内容とは
マイナンバー管理の内容は、個人情報保護委員会による「特定個人情報の適正な取扱いに関するガイドライン」で定められています。
マイナンバーのライフサイクルに従い、収集・利用及び管理・廃棄についてそれぞれ適切な管理方法が示され、企業は指針に従いマイナンバーの取り扱いを行うこととされています。
収集
企業は法律に定められた範囲でのみマイナンバーを収集することができます。
先ほどあげた人事・経理業務と収集する場面については、すべて法律でマイナンバーの収集が義務とされているものです。
したがって、法令で定められている利用目的を超えた業務、例えばマイナンバーの利用実態の調査目的での収集を行うことはできません。
また、収集の際に、本人確認も求められます。なりすましを防ぐためです。
さらに、技術的にも、取得方法として適切なものを選択する必要があります。
マイナンバーには分離保管の原則があるので、メールでの取得を行い、サーバで他のデータと分離できないまま保管することは不適切とされています。
他のデータとの分離ができる収集方法をとります。
利用・管理
マイナンバーの利用は法令で定められているものであることを前提に、適正に行うことが求められます。
利用目的を公表または通知により本人に知らせること、法令で定められている範囲の利用を行うことがまず重要なポイントとなります。
利用目的は、変更する場合、当初の利用目的と関連性のあるものに変更する場合通知することにより変更が可能です。
しかし、当初の利用目的を超える場合は、本人の同意が必要です。
管理は分別管理を行うことが取り扱い事業者には義務付けられています。
マイナンバー情報は、他の情報と分離して管理を行うことが求められるので、他の情報と分離されているとは言えない方法(例:ハードディスクに保管されるファイルフォルダで、マイナンバー入りではない書面とマイナンバー入りの書面を一緒に保管する)で保管することはガイドラインに従った保管とは言えません。
マイナンバーデータは悪用されると大きな影響が出ることが懸念されるので、安全管理策を高度なレベルに設定しなければならないので保管は分けるべき、とされるのです。
物理的・論理的いずれかの方法で分離して保管する必要があります。
また、紙の保管・デジタルスキャンコピー・デジタルデータの保管の場合、他のデータと一緒に記載してあることから分離が難しい場合もあることでしょう。
こうした場合でも、法律で一緒に保管することが義務付けられないと解釈される場合は、黒塗り・削除などを施し、マイナンバーデータは分離して保管するようにするのが適切です。
例えば、扶養控除申告書は、申告書提出の場面ではマイナンバーを記載することが必須ですが、保管に関しては、控えをマイナンバー入りで保管することが義務付けられているわけではありません。
控えをとる場合でも、黒塗り等を施すことが適切と考えられます。
廃棄
廃棄は完全な廃棄が求められます。紙であれば粉砕・溶解・燃焼などの方法で、デジタルデータの場合、復元ができない方法での削除・バックアップを取らない/取れない方法での削除が求められます。
復元可能性がない、という点がポイントです。
マイナンバー管理について企業がとるべき対策とは
個人情報保護委員会による「特定個人情報の適正な取扱いに関するガイドライン」=マイナンバーの取り扱いに関するガイドラインでは、下記の対策が求められています。
個人情報保護法の保護対象となる情報と同様、組織的および人的、物理的、技術的安全管理措置が必要であり、企業の実態に合わせて十分と考えられる措置を施す必要があります。
また、マイナンバー情報の性質上、通常の個人情報より一段レベルの高い安全管理措置が行われている必要もあり、ガイドライン上求められる安全管理措置にはレベルの違いを反映する取り扱いが定められています。
基本方針の策定
マイナンバーの基本方針の策定を行います。
基本方針では、規定・組織・管理及び取扱責任者・安全管理措置としてとるべき措置、そして利用目的など、当該企業における管理策の概要を示します。
マイナンバーの利用目的の公表・通知のために、インターネットのホームページなど、本人のわかりやすいところに掲載するのが通常です。
企業のポリシー策定については「大企業との取引には必須!情報セキュリティポリシーの概要とは」で詳説していますので、併せてお読みください。
取扱規程等の策定
企業内でとる具体的な安全管理措置を定め、禁止事項・罰則・検査および監査についても定めます。
罰則や検査ないし監査がないと、実行を担保できないためです。
組織的安全管理措置
組織的安全管理措置としては、マイナンバーの取扱責任者・取扱担当者を決めること、万が一の事故の際の報告経路や方法を定めておくことが必要です。
また、物理的・技術的管理措置の担当部署・権限なども定めておきます。
重大な事故においては個人情報保護委員会への報告が必要となりますので、内部での報告・委員会や監督官庁への必要な報告も視野に入れて、方法を定めておくことが必要です。
人的安全措置
人的管理措置としては、規定を遵守してもらうこと、また、取扱責任者・取扱担当者の責任や権限を知らせて、実行してもらうことが挙げられます。
重要なのは研修です。
研修により安全管理策の正しい理解と徹底遵守を実行することができるようになるほか、権限・責任についても、できればグループ別で行い、理解して協力してもらうことが望ましいでしょう。
物理的な安全管理措置
マイナンバー情報は、紙媒体やメディアの施錠管理が必要です。
取扱場所も他の執務場所との分離が求められます。ドアロックやカードキーによるロック・アクセス制限がポイントとなります。
また、必要に応じてパーテーションなどもオフィスの構造によっては施しておくことが求められる適切な措置とされています。
技術的安全管理措置
技術的安全管理措置としては、マイナンバーデータの収集方法として適切なものを使うこと・マイナンバーの分離保管・廃棄における完全破壊の原則を守ること、そしてアクセス権限の制御と制限が必要です。
マイナンバーの収集も、他のデータとの分離が必要ですので、メールで取得することは適切ではないので、スマホアプリ・USBデバイスを使う・専用の受け渡しシステムを使うなどの技術的な管理措置が求められます。
こうした内容を従業員に徹底してもらうには研修・教育の実施が効果的です。
LRMのセキュリオでご利用いただけるマイナンバー教材のサンプルを公開していますので、興味のある方は見てみてください。
まとめ
マイナンバーは、個人の重要な情報であり、絶対に漏洩してはならないものです。
- マイナンバーの適正な管理は法令に明記されている
- マイナンバー管理には、基本方針から、各種安全管理措置の策定まで実施が必要
- 難しい場合には、専門家の手を借りるのも手
何かが起こってからでは、被害も深刻ですし、企業の信用も損ねます。
適切な管理を実施しましょう。
