マイナンバー制度が導入され、様々な制度の公的手続きにもマイナンバーが用いられるようになりました。しかし、現在のところ専ら会社に求められた時しか使わない、なんて人も少なくないようです。新しく便利なものには必ずと言っていいほど悪の手が忍び寄るもの。自社の働き手の方々を危険にさらさないためにも、マイナンバーに関する正しい知識を身に付けましょう。
番号法に基づく特定個人情報の保護
マイナンバー(個人番号)を含む個人情報は、「特定個人情報」と呼ばれます。複数の分野・機関間で個人情報をひも付けするというマイナンバーの性質上、特定個人情報に関しては個人情報保護法以上に厳格な基準が設けられています。
「行政手続における特定の個人を識別するための番号の利用等に関する法律」(通称「番号法」)に基づき特定個人情報を保護するうえで設けられている規定は、以下に挙げる3つに大分されます。
特定個人情報の利用制限
個人情報保護法が規定するような一般的な個人情報に関しては、それらの情報を利用することができる事務目的に特段の制限が設けられていません。それに対して、特定個人情報に関しては、利用できる事務目的が社会保障、税及び災害対策に関する特定の事務に限定されているので注意が必要です。また、必要な範囲を超えて特定個人情報ファイル(=マイナンバー情報を含んだファイルのこと)を作成することは禁止されています。
特定個人情報の安全管理措置
新しく制定された番号法では、従来の個人情報保護法の規定に加えて、事業者が主体となって既に死亡した人の物も含めた特定個人情報に対して安全管理措置を講ずることが義務付けられています。また、従業者に対し必要かつ適切な監督を行わなければなりません。
具体的には、組織として特定個人情報を扱う際の基本方針の策定、および具体的な取扱規定の策定を行い、以下の安全管理措置を講じます。
組織的安全管理措置
組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し
人的安全管理措置
事務取扱担当者の監督・教育、法令・内部規程違反等に対する厳正な対処
物理的安全管理措置
特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏えい等の防止、マイナンバーの削除、機器及び電子媒体等の廃棄
技術的安全管理措置
アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止
また、業務委託を行う際にも注意が必要です。特定個人情報に関連する事務を委託する際には、委託先で自らが果たすべき安全管理措置と同等の措置が講じられるように、必要かつ適切な監督を行うことが義務付けられています。再委託の際には、最初の委託者の許諾が必要なほか、再委託者は再委託先について適切かつ必要な監督を行わなければなりません。
特定個人情報の提供制限
番号法では、特定個人情報の利用と同様に特定個人情報の提供についても、個人情報保護法よりも限定的に定められています(具体的にどのような場合に提供可能かに関しては、番号法19条を参照してください)。
さらに、特定個人情報の提供を受けることが許可されている場合を除いて、他人(=同一の世帯に属する者以外)に対して、個人番号の提供を求めることは禁じられています。特定個人情報の収集・保管についても同様です。なお、本人から個人番号を提供してもらう際には、本人確認が必須となっています。
中小規模事業主による安全管理の特例や措置具体例
さて、特定個人情報の保護規定は上で触れたとおりなのですが、かなり厳重な措置が必要なため、対応が難しいと感じた方も多いかと思います。そこで、中小企業では取り扱う件数が少ないなどの理由から、特例が定められており、実務への影響が少なくて済むような配慮がなされています。
この特例が適用されるのは、従業員数が100名以下である事業者のうち、下記に該当しない事業者です。
・個人番号利用事務実施者(例:国や地方公共団体、税務署など)
・個人番号関係事務及び個人番号利用事務の委託を受けている事業者
・個人情報取扱事業者
・金融分野の事業者
それでは具体的に、中小企業ではどのような対応が求められているのかを、特定個人情報保護委員会事務局が平成26年に発表した資料に基づき作成した以下の表で確認してみましょう。
【基本方針・取扱規定について】 | ||
---|---|---|
≪項目≫ | ≪中小企業における対応≫ | |
特定個人情報の取り扱いに関しての基本方針の策定・取扱規定の策定 | 基本方針の策定は従業員教育などの観点から重要なのは言うまでもありませんが、義務ではありません。
具体的な取扱規定の策定に関しては、業務マニュアル、業務フロー図、チェックリスト等にマイナンバーに関する事項を追記するという形でもOKになっています。 |
|
【組織的安全管理措置について】 | ||
≪項目≫ | ≪中小企業における対応≫ | |
組織体制の整備 | 組織体制整備は、事務取扱担当者が複数いる場合に責任者を決めておくだけでOKになっています。 | |
取扱規程等に基づく運用、取扱状況を確認する手段の整備 | 特定個人情報の取扱状況のわかる資料を保存しておきましょう。例えば、
●業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況等を記録する。 ●取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。 |
|
情報漏洩などの事案に対応するための体制整備 | 事態の発生に備えて、従業者→責任者の「報告・連絡・相談」体制の確認でOKです。 | |
取扱状況の把握及び安全管理措置の見直し | 責任者が定期的に点検すればOKです。 | |
【人的安全管理措置について】 | ||
≪項目≫ | ≪中小企業における対応≫ | |
事務取扱担当者の監督・教育 | 事業者は、特定個人情報が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督・教育を行う必要があります。 | |
【物理的安全管理措置について】 | ||
≪項目≫ | ≪中小企業における対応≫ | |
特定個人情報等を取り扱う区域の管理 | 特定個人情報ファイルを取り扱う情報システムの管理区域や、特定個人情報に関連する事務を行う区域(取扱区域)を明確にして物理的な安全管理措置を講じましょう。具体的には、壁又は間仕切り等の設置及び覗き見されない場所等の座席配置の工夫等が考えられます。 | |
機器及び電子媒体等の盗難等の防止 | 事業者の規模及び特定個人情報等を取り扱う事務の特性等によりますが、例えば、書類等を盗まれないように書庫等のカギを閉める等の対応をとればOKです。 | |
電子媒体等を持ち出す場合の漏えい等の防止 | 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードを設定する、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講じましょう。置き忘れなどにも注意が必要です。 | |
個人番号の削除、機器及び電子媒体等の廃棄 | 削除・廃棄が徹底されていることを責任者が確認すればOKです。 | |
【技術的安全対策措置について】 | ||
≪項目≫ | ≪中小企業による対応≫ | |
アクセス制御・アクセス者の識別と認証 | 特定個人情報を扱う端末を特定し、それを取り扱う者についても限定するのが望ましいです。
また、機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定し、担当者以外にみられないようにすることが望ましいです。 |
|
外部からの不正アクセス等の防止 | ●ウイルス対策ソフトウェア等を導入する。
●機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態にする。 などの対策をとればOKです。 |
|
情報漏えい等の防止 | インターネットなどでデータをやり取りする際には、暗号化やパスワードを設定するなどの方法で情報漏洩を防ぎましょう。 |
マイナンバーに関連する罰則
上でも触れてきたとおり、マイナンバーに関連する情報は特定個人情報と呼ばれ、一般的な個人情報とは区別されており、それに関連する法的罰則は個人情報保護法などの従来の類似した法律に比べて厳重なものとなっています。
具体的にどのような点が厳しくなっているのでしょうか。まずは罰金の額や懲役年数など、罰則そのものが厳しくなっています。さらに、類似したほかの法律との差異として、違法行為があったと認められた場合、行政指導や行政命令といったステップを踏むことなく、すぐに罰則が与えられる点も挙げられます(直罰規定)。
そして、もう一つの大きな違いに、「一部の違法行為に関して両罰規定が適用されること」が挙げられます。両罰規定とは、罰則に当たる行為が法人の業務内で行われた際に、その行為を行った張本人のみならず、その人が属する法人に対しても罰則が及ぶというものです。両罰規定が当てはまる行為としては、個人番号の漏洩や、詐欺行為などによる個人番号の不正取得があります。
まとめ
マイナンバーが導入されたことに伴い、マイナンバーに関連する個人情報をいかに正しく管理していくかが重要な問題となっています。特定個人情報を保護するためにいかなる規定が存在しているのか、中小企業にはいかなる対応が求められているのか、そして法的にはどのような罰則が存在しているのかを改めて学ぶ機会にしましょう。