マイナンバーの安全管理措置とは
2015.09.29
「第1回 マイナンバーの基本を押さえよう」に続き、マイナンバーの安全管理措置についてお伝えします。(編集部)
第2回 マイナンバーの安全管理措置とは
企業は、社会保障・税・災害対策に関する実務を行うため、従業員やその家族のマイナンバーを収集し、安全な管理を行う必要がある。
マイナンバーを管理する責任者と実務者を早めに決めておきたい。
(1)従業員からマイナンバーを収集する
まずは、従業員にマイナンバーについての概要と企業側が利用する目的を説明する。従業員自身も、マイナンバーを人に教えたり、利用目的を明示されない状態での収集には対応しないなど、管理意識を持てるよう情報提供に努めたい。
収集の際に大事なことは「本人確認」である。
本人確認とは、マイナンバーの12桁の番号を申請した人が確かに本人であるかどうかの確認であり、なりすましを防ぐために行う。
本人確認に必要な物の基本の組み合わせは、
マイナンバー「通知カード」+ 運転免許証やパスポート等
(通知カードは、市町村から個人あてに郵送される)
従業員が通知カードを受領後、市町村に「マイナンバー個人番号カード」を申請し取得している場合は、これ1枚でOKとなる。
従業員の扶養家族なども同様に本人確認ができる書類と通知カードをセットで確認する。
収集は、対面、郵送、IT、電話いずれでもかまわない。
出典:内閣官房「マイナンバー 社会保障・税番号制度 民間事業者の対応(平成27年8月版)」(PDF)
ポイント1)マイナンバーが本人のものであることを必ず確認する。
(2)安全に保管・管理する
マイナンバーは「特定個人情報」とされ、すべての企業に対して、通常の個人情報以上に、目的外(社会保障、税、緊急時の災害対策の指定領域以外)利用の禁止、漏えいを防ぐための整備が求められている。「必要かつ適切な安全管理措置」が企業側の責務となる(「個人情報保護法」のような取扱い情報数による免除はない)。
安全管理措置は、次のような6つが規定されている。
特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(PDF)
- 基本方針の策定
- 取扱い規程等の策定
- 組織的安全管理措置(組織体制の整備や情報漏えい対策の整備など)
- 人的安全管理措置(事務取扱担当者の監督や教育)
- 技術的安全管理措置(マイナンバーを扱う区域やIT上の管理措置)
- 物理的安全管理措置(マイナンバー情報へのアクセス制御や情報漏えい防止策)
責任者による管理監督に加え、技術的安全管理措置として特定個人情報等を取り扱う機器の特定なども提唱されているのだ。
具体的な対策は、対象者の数、事業体制等によって異なる。
例えば技術的安全管理措置に関しては、家族経営の小規模企業などは、マイナンバーを取り扱う場所を決め、周囲から覗かれないようなレイアウトを行うことが最低限の策となろう。物理的・技術的な安全管理措置としては、マイナンバーリストを金庫へ保管することなどが考えられるが、金庫利用者の管理記録等が必要になるため、ITを利用したほうが結果的に楽な場合が多い。
そこで次回は、マイナンバー関連のIT活用について考えていこう。(更新予定は10月13日です)
ポイント2)企業側はマイナンバーを取り扱う方針を決め、担当者や扱う場所、システム上の準備を行っていく。