水町 雅子
五番町法律事務所 弁護士
元内閣官房社会保障改革担当室参事官補佐
本連載では、マイナンバーのために今やるべきことは何か、マイナンバーの取り扱いのポイントは何かを、具体的に解説していく。
マイナンバーというと「セキュリティ対策の充実、安全管理措置を行わなければならないが、何をどうすればよいのかよく分からない」と考える読者も多いのではないだろうか。今回は、安全管理措置のポイントについて具体的に解説する。
今回のポイント「分かりやすいマニュアルを作ろう」
● マイナンバーを利用する事務・情報・人を限定する
● マイナンバーを情報システムで、または事務として取り扱う区域を明確化する
● 上記の区域からマイナンバー情報を移動させるときは、漏えい等防止策を講じる
● マイナンバーの管理には施錠を原則とする
● マイナンバーは速やかに廃棄・削除を行う
● 担当者から見て、従業員がどう扱ったらよいかを、マニュアル(取扱規程)に"分かりやすく"まとめよう
■安全管理措置とは
これまでも個人情報保護法上の義務に服する企業においては、個人データの安全管理措置が義務づけられていた。マイナンバーに対して求められる安全管理措置も、それとあまり変わりはない。なぜなら安全管理措置とは、個人情報が不正に取り扱われないようにする対策であって、マイナンバー特有の考え方ではないからだ。
なお、安全管理措置というと、漏えい対策に注力される向きも見られるが、それだけではない。法律上求められているのは「個人データの安全管理のために必要かつ適切な措置」(個人情報保護法20条)、「個人番号(マイナンバー)の適切な管理のために必要な措置」(マイナンバー法12条)であって、漏えい対策はあくまでその中の一つにすぎない点に留意しよう。
ここで"必要""適切"な安全管理措置とは、一体どういうことなのか。これまでの個人情報保護法との比較から、基本をおさらいしつつ、マイナンバーで行わなければならない安全管理措置を見てみよう。
■個人情報保護法の安全管理措置との主な違い
マイナンバーに関する安全管理措置については、特定個人情報保護委員会(平成28年以降は個人情報保護委員会)から「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が公表されている(以下、マイナンバーガイドライン)。なお、個人情報全般の安全管理措置については、各主務官庁がガイドラインを公表しているが、金融機関以外の多くの会社においては経済産業省ガイドラインに従うことになる。
求められる安全管理措置についての、経済産業省ガイドラインと、マイナンバーガイドラインとの主な差異は、マイナンバーは、"マイナンバーを利用する事務・情報・人(従業員)を限定しなければならない"点である。マイナンバー法では、マイナンバーを利用できる事務、マイナンバーと紐づけられる個人情報が限定されている(マイナンバー法9条)。これに対し個人情報保護法ではこのような制約はない。したがって、マイナンバーについては、マイナンバー法に違反した不正が行われないよう、マイナンバーを利用する事務・情報・人を限定することがポイントである(マイナンバーガイドライン 49ページ A、B、C)。
これらを押さえたら、基本方針、取扱規程等の策定を検討していく[図表1]。
[図表1]安全管理措置の検討ステップ
■安全管理措置の分類
経済産業省ガイドラインで求められる安全管理措置を大別すると、以下の4点である。
(A)組織的安全管理措置
(B)人的安全管理措置
(C)物理的安全管理措置
(D)技術的安全管理措置
一方、マイナンバーガイドラインで求められる安全管理措置を大別すると、以下の6点である[図表2]。
(1)基本方針の策定
(2)取扱規程等の策定
(3)組織的安全管理措置
(4)人的安全管理措置
(5)物理的安全管理措置
(6)技術的安全管理措置
なお、中小規模事業者(従業員数が100人以下の一定の事業者)については、安全管理措置が軽減される場合があるが、本解説では、中小規模事業者以外における安全管理措置を解説する。
[図表2]マイナンバーに関連する安全管理措置の分類
■基本方針の策定
基本方針は、会社の方針を対外的に分かりやすく説明するものである。マイナンバーをはじめとする個人情報の取り扱いについて、顧客などから問われたときに、従業員がポイントを説明できるように基本方針を作るとよい。
基本方針については、すでに多くの会社で「個人情報保護基本方針」「プライバシーポリシー」が作成されていると思われるので、それらにマイナンバー部分を追記してもよいし、別途作成してもよい。
■取扱規程等の策定
取扱規程は、社内のルールを分かりやすくまとめたもので、従業員用のマイナンバーマニュアルである。取扱規程を見れば、何を行ってよいか、何が行ってはいけないかが分かるような、従業員の監督・教育にそのまま使えるくらいシンプルなものを作るとよい。
取扱規程として、法律をそのまま複写している場合や、契約書に類似する書面等を作成している会社もあるが、取扱規程は、法律や契約書、就業規則などの形式に合わせる必要はない。また、法律やガイドラインの内容は取扱規程に掲載しなくても、当然、会社はこれらを遵守する義務があるので、注意喚起のために法律やガイドラインの重要事項を取扱規程に掲載するのであればともかく、取扱規程としてわざわざこれらを複写する必要はない。せっかく時間をかけて取扱規程を作成するのだから、作成する意味があるように、従業員から見て分かりやすい内容としていこう。例えば、[図表3]のような内容としてもよいだろう。
そのほか、誰が誰のマイナンバーを取得するか、誰に渡して、どこで保管するのかといった具体的な事務の流れを記載してもよい。形式は特に決まりはない。重要なのは、社内のルールを"分かりやすく"まとめることである。
[図表3]取扱規程の内容のイメージ
| 取 得 |
・マイナンバーの利用目的は以下でなければならない。以下のどれに該当するか。 □ 税(法定調書作成) □ 健康保険届出 □ 雇用保険届出 □ 年金届出 □ …… |
|
・マイナンバーを取得する際は、以下のいずれかの本人確認をしなければならない。 □ 個人番号カード □ 通知カード+免許証 □ 通知カード+年金手帳+健康保険証 □ 住民票の写し+免許証 □ …… |
|
| 保 管 |
・マイナンバーを取得したら、以下のいずれかの措置を実施しなければならない。 □ 都度、封かん □ 目隠しシール □ 取りまとめ後、封筒に入れて、施錠管理 □ …… |
| 利 用 | …… |
■組織的安全管理措置
組織的安全管理措置というと身構える読者もいるかもしれないが、これまでの個人情報保護で求められてきたものと、ほぼ変わりはない。つまり、マイナンバーを取り扱う体制を整備し、規程等を運用して、その実施状況を確認することである。
[図表4]では、経済産業省ガイドラインで個人情報に対する組織的安全管理措置としてこれまで求められてきたものと、マイナンバーに関する組織的安全管理措置とを対比した。ガイドラインに記載されている具体的な文言を比較すると、どちらかというと、経済産業省ガイドラインで例示されている対策のほうが厳しい印象である。これまで個人情報取扱事業者として安全管理措置を行ってきた会社(原則として、過去6カ月以内に5001人以上の個人情報を保有し、事業の用に供している会社)にとっては、マイナンバーだからといって身構える必要はなく、これまでどおりの対策を行えば基本的に問題はない。
[図表4]マイナンバーと経済産業省のガイドラインにおける「組織的安全管理措置」の対比
| ①組織体制 |
|
◆マイナンバーガイドライン 「組織体制の整備」「情報漏えい等事案に対応する体制の整備」 ◆経済産業省ガイドライン 「個人データの安全管理措置を講じるための組織体制の整備」「事故又は違反への対処」 |
|
○ 経済産業省ガイドラインのほうが以下の点の手法の例示で厳しい印象 ・役割・責任を職務分掌規程、職務権限規程等の内部規程、契約書、職務記述書等に具体的に定める ・チーフ・プライバシー・オフィサー(CPO)を設置し、原則として、役員を任命する ・社内の個人データの取り扱いを監督する「管理委員会」の設置 ・監査責任者の設置 ・監査実施体制の整備 ・違反、事故の際の代表者等への報告連絡体制の整備 |
| ②規程等 |
|
◆マイナンバーガイドライン 「取扱規程等に基づく運用」「取扱規程等の策定」 ◆経済産業省ガイドライン 「個人データの安全管理措置を定める規程等の整備と規程等に従った運用」 |
|
○ マイナンバーガイドラインでは、システムログまたは利用実績を記録するが、経済産業省ガイドラインでは、情報システム利用申請書、権限付与申請書、権限一覧表、建物等への入退館(室)記録、教育受講者一覧表等も例示 ○ 経済産業省ガイドラインではこの項目の中に取扱規程の策定が含まれる |
| ③取り扱い状況を確認する手段 |
|
◆マイナンバーガイドライン 「取扱状況を確認する手段の整備」 ◆経済産業省ガイドライン 「個人データの取扱状況を一覧できる手段の整備」 |
|
○ マイナンバーガイドラインでは、削除・廃棄状況なども例示 ○ 経済産業省ガイドラインでは、取得する項目、利用目的、保管場所、保管方法、利用期限なども例示 |
| ④評価・見直し |
|
◆マイナンバーガイドライン 「取扱状況の把握及び安全管理措置の見直し」 ◆経済産業省ガイドライン 「個人データの安全管理措置の評価、見直し及び改善」 |
|
○ 経済産業省ガイドラインでは、監査実施結果の取りまとめと、代表者への報告も例示 |
■人的安全管理措置
人的安全管理措置で求められることは、マイナンバーを取り扱う人を監督、教育することである。
[図表5]では、経済産業省ガイドラインで個人情報に対する人的安全管理措置としてこれまで求められてきたものと、マイナンバーに関する人的安全管理措置とを対比した。人的安全管理措置についてもほぼ差異がないので、これまで個人情報取扱事業者として安全管理措置を行ってきた会社にとっては、これまでどおりの対策を行えば、基本的に問題はない。
[図表5]マイナンバーと経済産業省のガイドラインにおける「人的安全管理措置」の対比
| ①監督 |
|
◆マイナンバーガイドライン 「事務取扱担当者の監督」 ◆経済産業省ガイドライン 「従業者の監督」 |
|
○ 差異はほぼない ○ 経済産業省ガイドラインでは、安全管理措置(個人情報保護法20条)ではなく、従業者の監督(同21条)として解説 |
| ②教育 |
|
◆マイナンバーガイドライン 「事務取扱担当者の教育」 ◆経済産業省ガイドライン 「従業者に対する内部規程等の周知・教育・訓練の実施」 |
|
○ 経済産業省ガイドラインでは、個人データおよび情報システムの安全管理に関する従業者の役割および責任を定めた内部規程等についての周知も例示 |
| ③非開示・秘密保持に関する教育 |
|
◆マイナンバーガイドライン 「事務取扱担当者の教育」 ◆経済産業省ガイドライン 「雇用契約時における従業者との非開示契約の締結、及び委託契約等(派遣契約を含む。)における委託元と委託先間での非開示契約の締結」 |
|
○ マイナンバーガイドラインでは、特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込む ○ 経済産業省ガイドラインでは、従業者の採用時または委託契約時における非開示契約の締結、非開示契約に違反した場合の措置に関する規程の整備も例示 |
■物理的安全管理措置
物理的安全管理措置に関しては、マイナンバーではこれまでの個人情報とは異なる対応が必要だ。具体的には、以下4点が大きな差異である[図表6]。
①マイナンバーについては、情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域と特定個人情報等を取り扱う事務を実施する区域を明確にしなければならない
②盗難等の防止のため、原則として施錠管理等が求められる
③①で明確化した区域からマイナンバー情報等を移動させるときは、漏えい等を防止しなければならない
④マイナンバーは必要がなくなった場合で、法定保存期間を経過した場合には、速やかな削除・廃棄が求められる[図表7]
[図表6]マイナンバーと経済産業省における「物理的安全管理措置」の対比
| ①取り扱う区域 |
|
◆マイナンバーガイドライン 「特定個人情報等を取り扱う区域の管理」 ◆経済産業省ガイドライン 「入退館(室)管理の実施」 |
|
○ マイナンバーガイドラインでは、特定個人情報ファイルを取り扱う情報システムを管理する区域と、特定個人情報等を取り扱う事務を実施する区域の明確化を要求 ○ 経済産業省ガイドラインでは、個人データを取り扱う業務を実施する区域に対して、必ずしも入退館(室)管理を要求していない |
| ②盗難防止 |
|
◆マイナンバーガイドライン 「機器及び電子媒体等の盗難等の防止」 ◆経済産業省ガイドライン 「盗難等の防止」「機器・装置等の物理的な保護」 |
|
○ 経済産業省ガイドラインのほうが、例示レベルが、簡単なものから厳格なものまで幅広い ○ マイナンバーガイドラインでは、施錠、セキュリティワイヤーなどを例示
○ 経済産業省ガイドラインでは、媒体の施錠保管、机上・車内等への放置の禁止、パスワード付きスクリーンセイバ、氏名・住所・メールアドレス等の分離保管、カメラ撮影や作業への立ち会い等による記録、モニタリングの実施を例示 |
| ③持ち出す場合の漏えい防止 |
|
◆マイナンバーガイドライン 「電子媒体等を持ち出す場合の漏えい等の防止」 ◆経済産業省ガイドライン 「盗難等の防止」「(技術的安全管理措置)個人データの移送・送信時の対策」 |
|
○ マイナンバーガイドラインでは、①で特定した区域外へ移動させるときは、事業所内での移動等であっても、紛失・盗難等への留意を明記 |
| ④削除・廃棄 |
|
◆マイナンバーガイドライン 「個人番号の削除、機器及び電子媒体等の廃棄」 ◆経済産業省ガイドライン 「-(なし)」 |
|
○ マイナンバーガイドラインでは、削除・廃棄を要求 |
[図表7]マイナンバーに関する書類と保存期間
| 書類名 | 法定保存期間 | 根拠法令 |
| 税務関係に関する書類(源泉徴収簿、給与所得者の扶養控除申告書、配偶者特別控除申告書) | 属する年の翌年1月11日から7年間 | 所得則76条の3 |
| 雇用保険被保険者に関する書類(雇用保険資格取得確認通知書など) | 退職日から4年間 | 雇保則143条 |
| 健康保険、厚生年金保険に関する書類(資格取得確認通知書、資格喪失確認通知書など) | 退職日等から2年間 | 健保則34条、厚年則28条、厚年基則20条 |
■技術的安全管理措置
[図表8]では、経済産業省ガイドラインで個人情報に対する技術的安全管理措置としてこれまで求められてきたものと、マイナンバーに関する技術的安全管理措置とを対比した。技術的安全管理措置についてもほぼ差異がなく、逆に経済産業省ガイドラインのほうが、要求レベルが厳しい印象がある。これまで個人情報取扱事業者として安全管理措置を行ってきた会社にとっては、これまでどおりの対策を行えば、基本的に問題はない。
[図表8]マイナンバーと経済産業省のガイドラインにおける「技術的安全管理措置」の対比
| ①アクセス制御 |
|
◆マイナンバーガイドライン 「アクセス制御」 ◆経済産業省ガイドライン 「個人データへのアクセス制御」 |
|
○ 経済産業省ガイドラインのほうが以下の点などの手法の例示で厳しい印象 ・個人データへのアクセス権限を付与すべき者の最小化 ・アクセス権限を有する者に付与する権限の最小化 ・個人データを格納した情報システムへの同時利用者数の制限 ・個人データを格納した情報システムの利用時間の制限 ・個人データを格納した情報システムへの無権限アクセスからの保護(ファイアウォール、ルータ等の設定) ・個人データにアクセス可能なアプリケーションの無権限利用の防止(アプリケーションシステムに認証システムを実装する、業務上必要となる者が利用するコンピュータのみに必要なアプリケーションシステムをインストールする、業務上必要な機能のみメニューに表示させる等) ・個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証 |
| ②アクセスの識別と認証 |
|
◆マイナンバーガイドライン 「アクセス者の識別と認証」 ◆経済産業省ガイドライン 「個人データへのアクセスにおける識別と認証」 |
|
○ 経済産業省ガイドラインでは、複数の手法を組み合わせて実現することが望ましいと記載するなど、厳しい印象 |
| ③不正アクセス防止 |
|
◆マイナンバーガイドライン 「外部からの不正アクセス等の防止」 ◆経済産業省ガイドライン 「個人データを取り扱う情報システムについて不正ソフトウェア対策」 |
|
○ 経済産業省ガイドラインでは、組織で許可していないソフトウェアの導入防止のための対策も例示 |
| ④アクセス記録・管理・監視 |
|
◆マイナンバーガイドライン 「-(なし)」 ◆経済産業省ガイドライン 「個人データへのアクセス権限の管理」「個人データのアクセスの記録」「個人データを取り扱う情報システムの動作確認時の対策」「個人データを取り扱う情報システムの監視」 |
|
○ 経済産業省ガイドラインでは、マイナンバーガイドラインでは明示されていないこれらの項目も要求 |
■安全管理措置について、何を行えばよいのか
以上見てきたように、マイナンバーというと安全管理措置への注力傾向もみられるところだが、個人情報保護法における個人データに対する安全管理措置と比べて、それほど大きな差異はない。取扱規程にしても、すでに経済産業省ガイドラインで、「個人データの取扱いに関する規程等」として、マイナンバーガイドラインで求められる以上の内容を例示したものの作成が要求されている(同ガイドライン28、30~34ページ)。
つまるところ、マイナンバーに関する安全管理措置のポイントは以下の五つである。
①マイナンバーを利用する事務・情報・人を限定すること
②マイナンバーを情報システムで、または事務として取り扱う区域を明確化すること
③それらの区域からマイナンバー情報を移動させるときは、漏えい等を防止すること
④施錠管理等が原則であること
⑤速やかな廃棄・削除
これら以外は、原則としてこれまでの個人情報に対する安全管理措置と同様に、対処していくことが考えられる。
何より、従業員がマイナンバーをどう取り扱ったらよいか困惑しないよう、[図表3]のような分かりやすいマニュアル(取扱規程)を作成し、ミスを防いでいくことが重要である。
 |
水町 雅子 みずまち まさこ 五番町法律事務所 弁護士 元内閣官房社会保障改革担当室参事官補佐 東京大学教養学部卒業後、現みずほ情報総研にてシステム関連業務に従事。東京大学法学政治学研究科法曹養成専攻を経て、西村あさひ法律事務所にてシステム案件・ファイナンス案件・企業法務案件に従事。その後、内閣官房社会保障改革担当室、特定個人情報保護委員会にて、マイナンバー法立法作業、プライバシー影響評価(特定個人情報保護評価)立案等に従事。現在は、五番町法律事務所を開設。 |