企業における適切なマイナンバー管理を再確認しよう
「マイナンバー」とは、日本に住民票がある人(外国人も対象)が持つ12桁の番号です。「社会保障、税、災害対策」の3つの分野に限り、複数の機関が持つ個人情報が同一人物であることを確認するために活用されます。
一度付与されたマイナンバーは、原則、生涯同じ番号を使い、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号:以降、マイナンバー法)により適切に管理することが定められています。また、マイナンバー法では「取得・利用・提供」「保管・破棄」「委託」「安全管理措置」の4つの保護措置が設けられております。
今回はマイナンバーの管理について、再点検の意味を込めて管理に関する「保管・破棄」「安全管理措置」についてご紹介します。
【目次】
- マイナンバーは個人情報?それとも特定個人情報?
- マイナンバーの適切な保管・廃棄方法
- マイナンバーの安全管理措置
- 中小規模事業者が行うべき安全管理措置
- マイナンバー制度の今後
- まとめ
- おすすめ製品
マイナンバーは個人情報?それとも特定個人情報?
まずは、「マイナンバー」についておさらいしましょう。
「マイナンバー」とは、日本に住民票がある個人が持つ12桁の番号(個人番号)です。行政の効率化や国民の利便性を高めることを目的として、平成28年1月1日にマイナンバー制度が導入されました。マイナンバーは、社会保障・税・災害対策の分野のうち、法律または条例で定められた事務手続において使用されています。
マイナンバーを含む個人情報は「特定個人情報」に該当し、個人情報の一部です。例えば、氏名や住所、勤務先といった情報は個人情報に該当しますが、この情報にマイナンバーが加わった場合、「氏名・住所・勤務先・マイナンバー」すべてが特定個人情報となります。
特定個人情報は、個人情報保護法よりもさらに厳重な保護措置と罰則が設けられています。
なお、「個人情報」は個人情報保護法によって、生存していることが前提となっているため、亡くなられた方のマイナンバーを含む情報は特定個人情報に該当せず、個人情報にも該当しません。
~ちょこっとメモ:個人情報とは?~
個人情報とは個人情報保護法によって、以下のように定義されています。
- 個人に関する情報であること
- 特定の個人を識別できること
例えば、生年月日だけでは個人情報には該当しませんが、氏名や住所が加わると個人を特定できますので個人情報に該当します。パスポートや運転免許証の番号なども、重要な個人情報のひとつです。
マイナンバーの適切な保管・廃棄方法
一般企業において、マイナンバーを記載する主な手続き書類を表にまとめました。
特定個人情報の一つであるマイナンバーの保管は、マイナンバー法で限定的に明記された場合を除き、保管してはいけないことになっていますが、これらの書類については、書類に関する事務処理を行うためにマイナンバーを取得し、保管することができます。
行政 機関 |
種類 | 書類 | 保管 期間 |
---|---|---|---|
国税庁 | 法定調書関係 |
など |
7年 |
源泉所得税関係 |
など |
7年 | |
厚生労働省 | 雇用保険関係 |
など |
4年 |
労災保険関係 |
など |
3年 | |
日本年金機構 | 健康保険 厚生年金 |
など |
2年 |
事務処理を終えて必要がなくなった場合、各書類は所管法令において定められた保管期間までは保管できますが、期間を過ぎた場合、できるだけ速やかに廃棄または削除しなければなりません。また、廃棄データは復元不可能な状態で廃棄し、廃棄した記録を保存することも求められています。
なお、マイナンバー法では、廃棄するまでの期間は企業の判断に任せられています。例えば、廃棄が必要となった場合、「月末に対象者のみ廃棄する」「年度末にまとめて廃棄する」といった運用が可能です。
マイナンバーの安全管理措置
マイナンバー法では、安全管理措置について大きく4つの措置が定められています。いずれも、「講じなければならない」措置であり、従わない場合、法令違反と判断される可能性があります。
ここでは、その4つの安全管理措置についてご紹介します。
1.組織的安全管理措置
特定個人情報を取扱う組織体制を整え、取扱規定を設けて運用します。具体的には、担当者を明確にし、担当者以外は特定個人情報を取り扱わないようにするといった仕組み作りを行います。
また、特定個人情報の取扱い状況および利用状況を記録し、確認できる仕組み作りも必要です。なお、記録する内容の中に特定個人情報を記載してはいけません。
万が一、情報漏えいが発生、もしくは疑われる事案が発生した場合を想定した体制作りも求められています。さらに、これらの措置は定期的に見直し、改善に取り組むこととあります。
2.人的安全管理措置
特定個人情報を取り扱う担当者が適正に取扱いできるよう、また継続して適正な運用ができるように、事業者は教育、監督する必要があります。具体的には定期的に研修会を行う、特定個人情報の取扱マニュアルを策定するといった対応を行います。
3.物理的安全管理措置
特定個人情報を取扱う区域を設け、事務取扱担当者以外の人が特定個人情報を閲覧できないように物理的な措置を講じます。また、特定個人情報を管理するパソコンや電子媒体などの盗難や情報漏えいを防止する必要があります。
例えば、特定個人情報を取扱う専用の部屋を設け、施錠管理をする、区域を分けて他の従業員が立ち入れないようにするなどです。なお、データやファイルを廃棄した記録を保存することも物理的安全管理措置に含まれます。
4.技術的安全管理措置
特定の担当者しかアクセスができないようにアクセス制御を行う、外部からの攻撃による漏えいを防止するためにウイルス対策ソフトウエアなどを導入するなど、システム的な措置を講じる必要があります。アクセス制限だけでなく、特定個人情報にアクセスした履歴をログとして記録しておくなどの対応も含まれます。
また、特定個人情報等をインターネットなどで外部に送信する場合を考え、ネットワークの暗号化など、
通信経路のセキュリティー対策を講じる必要もあります。
中小規模事業者が行うべき安全管理措置
マイナンバーを含む特定個人情報等の管理は、事業規模に関係なく、全ての事業主が行うべき義務です。しかし、中小規模事業者においては、事務で取り扱う個人番号の数が少ないこと、さらに特定個人情報等を取り扱う従業員の数が限定的であるなどの理由から、前述した「安全管理措置」について特例が設けられています。
一例ではありますが、以下のような点について措置が軽減されています。
- 基本方針や取扱規定の策定については義務でなく、可能な限り対応することが望ましい
- 取扱規定の代わりとして業務マニュアルやチェックリストなどにマイナンバーの取扱について記載することも可能
- 事務取扱担当者が複数いる場合は、責任者と担当者を区分し、けん制ができるようチェック体制を作ることが望ましい
- 情報漏えい等の事案に対応する体制整備の代わりとして、従業員から責任ある者への報告連絡体制をあらかじめ確認する
~ちょこっとメモ:中小規模事業者とは?~
中小規模事業者とは、従業員数が100人以下である事業者のことです。ただし、次の事業者を除きます。
- マイナンバー利用事務実施者
- 委託でマイナンバー関係事務またはマイナンバー利用事務を業務として行う事業者
- 金融分野の事業者
- 個人情報の個人件数が過去6カ月以内のいずれかの日で5,000件を超える事業者
マイナンバー制度の今後
政府は、マイナンバーカードの利活用推進を図るため、様々な施策を検討しています。「そろそろ、あなたもマイナンバーカード」ホ―ムページより、今後予定されている身近な施策についてご紹介します。
実現予定時期 | 施策内容 |
---|---|
2023年1月頃から開始 | マイナポータルを活用した自身の保健医療情報を閲覧できる仕組みに、電子処方箋情報を拡大 |
2022年度中 | マイナンバーカードの機能(電子証明書)のスマートフォンへの搭載 |
2022年度末まで | 原則、全自治体において、マイナンバーカードを用いて子育て・介護等のオンライン手続が可能となるように支援 |
2024年度末 | マイナンバーカードと運転免許証との一体化 |
まとめ
マイナンバーは、マイナンバー法により適正に取扱うことが定められています。この機会に、今回ご紹介した「保管・破棄」「安全管理措置」について、自社の管理状況を再点検してはいかがでしょうか。
特にデータを安全に保管するための措置については、中小規模事業者であっても漏えいを防止するための対応が必要です。利便性を確保しつつも管理業務の手間を軽減したい場合には、マイナンバーを適切に管理するシステムを導入することも検討してはいかがでしょうか。
おすすめ製品
「安全管理措置」について、中小企業には特例が設けられていますが、システムで管理することで、情報漏えいを未然に防ぎ、管理業務の負荷を軽減できます。
当社の「パッケージプラス(R)マイナンバーロッカーシステム」は、マイナンバーを高度なセキュリティー環境下で安全に、独立・集中管理するシステムです。保管されるデータは、通信中を含め暗号化され、「物理的安全管理措置」「技術的安全管理措置」に対応しています。
製品についての詳細は以下のリンクよりご確認ください。
メールマガジン登録
上記コラムのようなお役立ち情報を定期的に
メルマガで配信しています。
コラム(メルマガ)の
定期購読をご希望の方はこちら