マイナンバーの管理とは?ガイドラインに沿った管理の内容を解説

この記事は約8分で読めます。

マイナンバーには、個人の社会保障、租税、災害対策などに関する情報がまとめられていることから、万が一情報漏えいなどの事故があり、悪用されたりすると影響は深刻なものになることが考えられます。 

そこで、管理策も厳格なものが求められていますが、マイナンバー関連のガイドラインで求められる管理策は具体的にはどういうものでしょうか。 

以下、マイナンバーの安全管理策の概要と取扱のポイントについてお伝えします。

マイナンバーについておさらい

マイナンバー国から国民全員に付与されている12桁の番号のことです。
個人の社会保障、祖税、災害対策などに関する情報がまとめられており、利用できる行政サービスは法律で決められています。 

2016年1月よりマイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)が施行され、企業には厳重な管理が求められるようになりました。

企業活動ではマイナンバーの管理が必須になっている

一方、企業活動、特に人事関連の事務ではマイナンバーを会社が職員から取得し、管理することは必須になっています。 

例えば入退社手続きについては、下記の内容でマイナンバーの記載が必要であるため、会社またはその委託先がマイナンバーの管理を行っています。

  • 健康保険 
  • 厚生年金保険資格取得・喪失届 
  • 雇用保険資格取得・喪失届 
  • 健康保険被扶養者届 
  • 健康保険扶養者届 
  • 国民年金第3号被保険者関係届 
  • 扶養控除等申告書 
  • 住民税の特別徴収にかかる給与所得者異動届出書 
  • 退職所得の受給に関する申告書 

そのほか経理事務で、外部の専門家に報酬を支払う際に支払調書に記載するため・社宅の賃料をオーナーに支払う際などにマイナンバーを取り扱い管理することがあります。 

マイナンバーの管理を法令・ガイドラインに従い、適切に行うことが企業活動においては欠かせません。 

マイナンバー管理の内容とは

マイナンバーの管理は、その内容がガイドラインに定められています。 

個人情報保護委員会による「特定個人情報の適正な取扱いに関するガイドライン」=マイナンバーの取り扱いに関するガイドラインで管理の内容が定められています。 

マイナンバーのライフサイクルに従い、収集・利用及び管理・廃棄についてそれぞれ適切な管理方法が示され、企業は指針に従いマイナンバーの取り扱いを行うこととされています

収集

企業は法律に定められた範囲でのみマイナンバーを収集することができます。先ほどあげた人事・経理業務と収集する場面については、すべて法律でマイナンバーの収集が義務とされているものです。 

したがって、法令で定められている利用目的を超えた業務、例えばマイナンバーの利用実態の調査目的での収集を行うことはできません。また、収集の際に、本人確認も求められます。なりすましを防ぐためです。 

さらに、技術的にも、取得方法として適切なものを選択する必要があります。マイナンバーには分離保管の原則があるので、メールでの取得を行い、サーバで他のデータと分離できないまま保管することは不適切とされています。他のデータとの分離ができる収集方法をとります。

利用・管理

マイナンバーの利用は法令で定められているものであることを前提に、適正に行うことが求められます。利用目的を公表または通知により本人に知らせること、法令で定められている範囲の利用を行うことがまず重要なポイントとなります。 

利用目的は、変更する場合、当初の利用目的と関連性のあるものに変更する場合通知することにより変更が可能です。しかし、当初の利用目的を超える場合は、本人の同意が必要です。 

管理は分別管理を行うことが取り扱い事業者には義務付けられています。マイナンバー情報は、他の情報と分離して管理を行うことが求められるので、他の情報と分離されているとは言えない方法(例:ハードディスクに保管されるファイルフォルダで、マイナンバー入りではない書面とマイナンバー入りの書面を一緒に保管する)で保管することはガイドラインに従った保管とは言えません。 

マイナンバーデータは悪用されると大きな影響が出ることが懸念されるので、安全管理策を高度なレベルに設定しなければならないので保管は分けるべき、とされるのです。物理的・論理的いずれかの方法で分離して保管する必要があります。 

また、紙の保管・デジタルスキャンコピー・デジタルデータの保管の場合、他のデータと一緒に記載してあることから分離が難しい場合もあることでしょう。
こうした場合でも、法律で一緒に保管することが義務付けられないと解釈される場合は、黒塗り・削除などを施し、マイナンバーデータは分離して保管するようにするのが適切です。 

例えば、扶養控除申告書は、申告書提出の場面ではマイナンバーを記載することが必須ですが、保管に関しては、控えをマイナンバー入りで保管することが義務付けられているわけではありません。控えをとる場合でも、黒塗り等を施すことが適切と考えられます。

廃棄

廃棄は完全な廃棄が求められます。紙であれば粉砕・溶解・燃焼などの方法で、デジタルデータの場合、復元ができない方法での削除・バックアップを取らない方法での削除が求められます。復元可能性がない、という点がポイントです。

マイナンバー管理について企業がとるべき対策とは

個人情報保護委員会による「特定個人情報の適正な取扱いに関するガイドライン」=マイナンバーの取り扱いに関するガイドラインでは、下記の対策が求められています。 

個人情報保護法の保護対象となる情報と同様、組織的および人的、物理的、技術的安全管理措置が必要であり、企業の実態に合わせて十分と考えられる措置を施す必要があります。 

また、マイナンバー情報の性質上、通常の個人情報より一段レベルの高い安全管理措置が行われている必要もあり、ガイドライン上求められる安全管理措置にはレベルの違いを反映する取り扱いが定められています。

基本方針の策定

マイナンバーの基本方針の策定を行います。基本方針では、規定・組織・管理及び取扱責任者・安全管理措置としてとるべき措置、そして利用目的など、当該企業における管理策の概要を示します。 

マイナンバーの利用目的の公表・通知のために、インターネットのホームページなど、本人のわかりやすいところに掲載するのが通常です。

取扱規程等の策定

企業内でとる具体的な安全管理措置を定め、禁止事項・罰則・検査および監査についても定めます
罰則や検査ないし監査がないと、実行を担保できないためです。

組織的安全管理措置

組織的安全管理措置としては、マイナンバーの取扱責任者・取扱担当者を決めること、万が一の事故の際の報告経路や方法を定めておくことが必要です
また、物理的・技術的管理措置の担当部署・権限なども定めておきます。 

重大な事故においては個人情報保護委員会への報告が必要となりますので、内部での報告・委員会や監督官庁への必要な報告も視野に入れて、方法を定めておくことが必要です。

人的安全措置

人的管理措置としては、規定を遵守させること、また、取扱責任者・取扱担当者の責任や権限を知らせて、実行してもらうことをあげることができます。 

重要なのは研修です。研修により安全管理策の正しい理解と徹底遵守を実行することができるようになるほか、権限・責任についても、できればグループ別で行い、理解して協力してもらうことが望ましいでしょう。

物理的な安全管理措置

マイナンバー情報は、紙情報やメディアの施錠管理が必要です
また、取扱場所も他の執務場所との分離が求められます。ドアロック・カードキーによるロックとアクセス制限がポイントとなります。 

また、必要に応じてパーティションなどもオフィスの構造によっては施しておくことが求められる適切な措置とされています。 

技術的安全管理措置

技術的安全管理措置としては、マイナンバーデータの収集方法として適切なものを使うこと・マイナンバーの分離保管・廃棄における完全破壊の原則を守ること、そしてアクセス権限の制御と制限が必要です。 

マイナンバーの収集も、他のデータとの分離が必要ですので、メールで取得することは適切ではないので、スマホアプリ・USBデバイスを使う・専用の受け渡しシステムを使うなどの技術的な管理措置が求められます。 

マイナンバーの管理措置を徹底するためには研修が重要です。マイナンバー研修について興味がある方は下記リンクを参照してください。 

マイナンバー管理にも対応したLRMの情報セキュリティコンサルティングサービス

マイナンバーの管理は、特に技術的管理措置・物理的管理措置については「分別保管の原則」をめぐって実務上工夫のしどころが多いことが知られています。 

また、マイナンバーの管理を外部委託業者に行うとき、あるいは業務を受託する時の契約書の作成なども論点が多く、専門家の監修があると負担軽減につながります。 

規定の適時の改定・研修など、経験のある専門家に任せると、抜け・漏れがなく進められて安心です。ぜひ、経験のあるLRMの情報セキュリティコンサルティングサービスをご活用ください。

まとめ

マイナンバーの管理は他の個人情報と比べて管理レベルを一段上げることが求められるため、難易度が高く感じられると思います。 

中小企業では、ガイドラインの例示にもあるように安全管理策を若干緩和できる面はありますが、取引先・従業員に信頼してもらい、万が一の事故を防ぐためにはガイドラインに沿った十分な措置を施すことが重要です。 

セキュリティ対策をする組織体制の構築
タイトルとURLをコピーしました