fbpx

情報セキュリティにまつわる
お役立ち情報を発信

プライバシーマークとマイナンバーの関係性

行政の効率化や国民の利便性の向上や、公正な社会の実現などを目標として作られたマイナンバー制度ですが、ひとたび管理を誤れば、第3者に不正に使用されるリスクもあります。

そのためにも、マイナンバーを持つ個人はもちろんですが、個人のマイナンバー情報を取り扱っている企業側は、さらに万全のセキュリティ体制で管理していく必要があります。

マイナンバーの管理については、一部で重複している部分はあるとはいえ、すでにプライバシーマークを取得している企業であっても、あらためてマイナンバーに関する法令やガイドラインを、十分に理解したうえで取り扱う必要があります。

もちろん、マイナンバーには、マイナンバー特有の対策レベルやシステム対応が必要となりますので、自社だけでの独自の対応では、担当者や社員の業務効率に支障が出たり、得意とする分野だけの対策方法や知識に偏りがちになる傾向にあります。

今後は、マイナンバーによる情報管理は当たり前となってきますので、これを機に基本的なところからしっかり学ぶ必要があります。「プライバシーマーク取得支援サービス」などを利用して、プロによるサポートを受ければ、スムーズで効率的な管理体制を構築することができます。

マイナンバーは個人情報

「マイナンバー」とは、平成28年1月から交付される国民一人ひとりが持つ12桁の「個人番号」のことで、一度付与されれば生涯にわたって使用することになります。社会保障や税金、災害対策の分野で横断的な番号を導入することにより、機関を跨いだ情報のやり取りで、同じ人の個人情報の特定や確認を迅速にできるようになり、行政の効率化や国民の利便性の向上、公平で公正な社会を実現することが可能となります。

マイナンバー(個人番号)に記載されている内容とは、氏名や住所、個人番号などのほか、電子証明書などに限られ、所得などのプライバシー性の高い個人情報は記録されません。マイナンバーは個人情報の中でも、個人番号を内容に含む個人情報である「特定個人情報」になります。

番号法では、個人情報保護法とは異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないと定められています。

このような特定個人情報を提供できる場合とは、「個人番号を利用する事務実施者から提供される場合」や「個人番号の関係事務実施者などから提供される場合」のほか、「本人あるいは代理人から提供される場合」、「委託や合併に伴って提供される場合」、「情報提供ネットワークシステムを通じて提供される場合」、「委員会からの提供を求められた場合」、訴訟手続きや裁判の執行など「各議院審査などのほか、公益上の必要がある場合」、「各議院審査等その他公益上の必要がある場合」、「人の生命や身体、あるいは財産の保護のための提供される場合」などに限られています。

マイナンバーの管理体制

マイナンバー(個人番号)の管理体制を構築するために、企業は組織的安全管理措置と人的安全管理措置について取り組まなければなりません。

組織的安全管理措置では、おもに、情報を取扱う担当者や責任者などの役割分担と責任の範囲を明確にし、報告連絡体制を整備するための 「組織体制の整備」 や、ルールに沿った運用や管理を実施するだけでなく、システムログや利用実績を記録し、常に運用状況を確認できる仕組みを構築する「取扱規程等に基づく運用」、 マイナンバーを含む特定個人情報ファイルの取扱状況を確認する手段を整備する「取扱状況の確認手段の整備」、 情報漏洩事案発生時に、迅速に対応するための体制を整備する「情報漏えい等事案に対応する体制の整備」 、安全管理措置を定期的に評価し、見直しや改善をする「取扱状況の把握及び安全管理措置の見直し」 などがあります。

また、物理的安全管理措置では、マイナンバーを取扱う情報システムを管理する管理区域や、取扱いを実施する取扱区域を明確にしておくための「特定個人情報を取扱う区域の管理 」、マイナンバーを取扱う機器や電子媒体や書類ファイルの盗難や紛失等を防止するための物理的な安全管理措置を講じる「情報機器や電子記録媒体の盗難防止 」、パスワードによる保護やデータの暗号化、施錠可能な容器の使用などにより、安全策を講じる「情報機器や電子媒体を持ち出す場合の漏洩の防止」 、速やかに復元できない手段で削除あるいは廃棄する「個人情報の削除、情報機器や電子記録媒体の廃棄 」などがあります。

ほかにも、アクセスを制御したり、アクセス者の識別と認証、不正アクセス等の防止など、技術的な面からの対策も必要となります。

マイナンバーに注意しなければいけない企業・業界とは?

マイナンバー制度とは、あらゆる企業が取り組まなければならないもので、企業や業界、業種に例外はありません。

従業員を雇用する限りは、必ずマイナンバー(個人番号)を扱う機会が生まれますので、まずはこの認識を持つことが大切です。マイナンバーを扱うことによって、提供を受ける際に番号法上の本人確認を行い、安全に管理する措置を講じる義務が生じます。

また、マイナンバー(個人番号)が記載された書類を、税務署やハローワークなどの行政機関に提出しなければなりませんし、一定の期間が経過すれば、消去や破棄も必要となります。過剰に恐れる必要はありませんが、取扱いに違反すれば罰則もありますので、注意が必要です。マイナンバー制度が導入されることで、すでにプライバシーマークを取得している企業でも、想定を超えた対応が求められることとなります。

対応スケジュールとしては、まずは課題の認識と体制の設備、スケジュールや予算の設定から始まり、その後に対応の要点について検討します。規定についての改正や事務フローの見直しや修正も必要となってくるでしょう。

それは、システムの修繕に関わるものから、机上での対策も必要となります。

さらに、そこからシステムを改修し、同時に社員や従業員への教育や訓練も進めなければなりません。各部署への周知や広報、またそれに対する問い合わせ対応も必須です。そこから、全従業員や被扶養者のマイナンバーの収集、本人確認など、挙げればきりがありません。少なくとも「想定をしていた以上に大変だ」という予測を持ったうえで、慎重に検討を進めていかなければならないでしょう。

このように、すでにプライバシーマークを取得している事業所であっても、あらたにマイナンバーの取り扱いについては、あらたな対策が必要になり、それによって想像以上の労力と知識、時間が必要となってきます。

通常、マイナンバーやプライバシーマークなどの担当については、ほとんどの企業が専任の部署や担当者を設けているわけではなく、通常の業務と並行しながら準備や申請、更新を進めていかなければなりません。

また、社内全体、社員全員に正しい理解をしてもらわなければなりませんので、企業だけの独自のやり方では限界があります。選任された担当者に必要とされるスキルは並大抵のものではありませんので、やはりプロからのアドバイスやサポートは必要になってくるでしょう。

「プライバシーマーク取得支援サービス」では、企業の業種や規模などに応じて、さまざまなサポート体制が用意されていますので、それらをうまく活用することで、社員や担当者のモチベーションを下げることなく、適切でスムーズな導入や管理、運用、維持が可能となります。無駄な時間やコストも省くことができますので、まずはプロに相談をしてアドバイスを受けるのが一番ではないでしょうか。

Mountain View

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る