マイナンバーと監視運用体制

04-S-04_06

マイナンバーと監視運用体制ーマイナンバ―をきちんと管理するために

2017年1月から本格運用が始まることになったマイナンバー。
とはいえ、2015年10月から付番され、2016年1月には行政手続きの一部に導入されるというスケジュールについては既に運用が開始されているため、このフェーズに関して対応の準備を進めておかなくてはならないことに変わりはありません。

本記事では、組織が構成員の個人マイナンバーを取り扱う上での主な課題について、少し掘り下げてみたいと思います。

1:企業で取り扱うマイナンバーは従業員と従業員の扶養家族のもの

取り扱われる個人マイナンバーは、従業員とその扶養家族のものです。
現状では顧客の個人マイナンバーは特定の企業や団体しか扱えません。
「顧客情報(営業秘密の1つとしての個人情報)」のような、既に対策を何重にも施された秘密情報とは異なる場所にて保管、管理されるケースが想定されるため、現状では流出を防ぐ対策が不十分である可能性が考えられます。

2:マイナンバー担当部署は人事部、労務部を想定

社内の個人マイナンバーを管理、使用する権限や職責を負うと想定される部署(もしくは担当者)は主に人事、労務になるでしょう。
営業秘密を管理、使用する部署や担当者とは異なる場合が多く想定されます。
上記のような1と同様の理由で、リスクマネジメントに関する規定類の不足や、担当者のスキル習得等が不十分である可能性が見込まれています。

3:マイナンバーは、紙媒体で取り扱うケースが多いと想定

取り扱う部署の業務特性上、個人マイナンバーはデジタルのみならず紙で取り扱うケースが多くなると想定されています。
大半が「個人特定可能なマイナンバー」になっている状態が想定されています。
また、その書類を行政機関や自治体に持参・提出等のため社外に持ち出すことが想定され、IT面のセキュリティにのみ配慮してもそれだけでは済まない可能性が高いと見らています。

4:漏洩時に流出する情報

万一、漏洩事故が起こった場合に被る被害は、従業員及びその扶養家族の「特定個人情報(マイナンバーを内容に含む個人情報)の漏洩」です。
漏洩予防、もしくは、漏洩を一刻も早く察知するために、収集方法、取扱範囲の設定、廃棄等の処理方法や、取扱変更時の通知方法等、諸々の業務フローを、厳格に新設する必要があると言えます。

1と4については、組織的、人的、物理的、技術的な体制の構築が必要です。
2についても体制構築が必要と言えますが、主に人的安全管理措置が中心と言えるでしょう。

マイナンバーの人的・物理的・技術的安全管理措置について

ガイドラインには「事業者は“事務取扱担当者が特定個人情報等を、取扱規定等に基づき適正に取り扱えるように必要かつ適切な監督を行い、同担当者に適切な取り扱いを周知徹底し教育を行う必要がある”」と記載されています。

また、物理的安全管理措置は、特定個人情報を取り扱う区域の管理、盗難の防止、社外へ持ち出す場合の漏えい防止、削除、廃棄等について、それぞれ規定されています。
併せて、技術的安全管理措置として、情報システム等のアクセス制御やアクセス者の識別と認証、外部からの不正アクセスや情報漏えい等の防止等について規定されています。

マイナンバーを印字した紙の管理について

「マイナンバーはデジタルのみならず紙で取り扱うケースが多くなることが想定される」
点について、対応の例を補足しておきます。

紙の書類をどうしても外に持ち出す必要がある場合、容易に覗き見されないよう、封筒に入れ封を施し、それを鍵がかかるカバンに収納、施錠する等の処置を施した上で、担当者(責任者)が直接、肌身離さず携帯し、寄り道せず目的地へ直行する、等の規定の新設が推奨されます。

実施した日時や持ち出し書類、担当者、当該書類の処理内容等といった必要事項の記録・管理もきちんと実施するべきでしょう。

現時点では、施行前ということもあって「これが完璧なマイナンバー対応」といった情報は提示されていません。

実際にマイナンバー対応を実施するには、こうした組織的、人的、物理的、技術的の4つの視点からの安全管理措置がそれぞれきちんと為されているかが重要となります。
ガイドラインを理解した上で対応の検討を進めてるのが堅実と言えるでしょう。