マイナンバーの安全管理

別のコラムでは、マイナンバーの適正な取り扱いとして、その収集や利用、保管、廃棄、外部委託といった業務上の注意点についてご紹介しました。今回はなかでもとくに重要なマイナンバーを安全に管理するための方法についてご紹介してみたいと思います。

マイナンバー法には「個人番号の適切な管理のために必要な措置を講じなければならない」とあります。そのため民間企業としては、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」に応じて、必要な措置を講じる必要があります。このガイドラインは中小企業庁のウェブサイト「ミラサポ」内の「マイナンバー制度ヘッドライン」にも掲載されているので、まずは一読しておきましょう。

このガイドラインには「特定個人情報に関する安全管理措置（事業者編）」が添付され、安全措置についての検討手順や講ずべき措置の内容などが記載されています。事業者はこの内容に従い、必要な準備をする必要があります。

安全管理措置の検討手順

社内でマイナンバーの安全管理措置を講じる際には、まずその検討手順を確認することから始めましょう。

ガイドラインでは「個人番号を取り扱う事務の範囲」や「特定個人情報等の範囲」を明確にしたうえで、「事務取扱担当者」を明確化する必要があるとしています。

そのうえで組織としてマイナンバーを適正に取扱うため、「基本方針」と「取扱規定等」を策定することが重要であるとしています。

安全管理の内容

ガイドラインに挙げられた具体的な安全管理の内容としては以下の通りとなります。

1. 基本方針の策定
   組織としてマイナンバーを適正に取り扱うために必要な基本方針を策定する。
   （内容例）　事業所名・関係法令・ガイドライン等の遵守・安全管理措置に関する事項など
2. 取扱規定等の策定
   マイナンバーの取り扱いに関する具体的な規定等を策定する。
   （内容例）　取扱方法・責任者・事務取扱担当者・任務内容・具体的な業務フローなど
3. 組織的安全管理措置
   マイナンバーの適正な取り扱いのため、組織的な安全措置を講じなければならない。
   （内容例）　組織体制の整備・取扱規定等に基づく運用・取扱状況を確認する手段の整備・情報漏洩等に対応する体制の整備
   取扱状況の把握及び安全管理措置の見直しなど
4. 人的安全管理措置
   事務取扱担当者について、マイナンバー取扱いに関する留意事項等の定期的な研修などの教育措置や、秘密保持事項を就業規則に盛り込むなどの監督措置を講じなければならない。
5. 物理的安全管理措置
   物理的な安全管理措置として、取扱区域の管理や機器及び電子媒体の盗難防止、電子媒体等を持ちだす際の漏えい防止、個人番号の削除・機器及び電子媒体の廃棄などの措置を講じなければならない。
6. 技術的安全管理措置
   技術的な安全措置として、アクセス制御やアクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏洩の防止等の措置を講じなければならない。

ここに挙げたガイドラインの内容については、従業員数100人以下の中小規模事業者における対応方法は別に記載されている場合がありますので、内容をご確認するようにしてください。ただし従業員数が100人以下であっても、健康保険組合や金融、マイナンバー関連の事務を受託している事業者は大規模事業者と同様の措置が求められることになります。