5回にわたって連載してきたマイナンバーコラムも、いよいよ最終回です。
今回はデータの安全管理措置についてお話しします。

マイナンバーが漏れるとどうなるの?

  マイナンバーは、個人情報のなかでも「特定個人情報」と呼ばれ、企業も今までの個人情報とは少し違う扱いをしなければならないことは、これまでにお話ししました。ではマイナンバーが漏れるとどのようなことが起こるのでしょうか? たとえばこんなことはどうでしょうか。

「他人のマイナンバーさえあれば、他人になりすますことができる。クレジットカードの代わりにマイナンバーを言えば支払いができる???」
「マイナンバーを銀行の窓口で言えばお金が下せる???」

 正解は、いずれも「×」です。確かに大震災が起こった場合や、緊急時にはこのような特例措置が出るかもしれません。しかし、普段は他人のマイナンバーを入手したからといってすぐに「何か」ができるわけではありません。他人にとっては人のマイナンバーはそれほど意味のあるものではないのです。

 それではどうしてマイナンバーの安全管理には国も利用者も気をつかうのでしょうか? それは利用方法如何によっては、この共通番号によってプライバシーの情報との紐付けをすることができてしまうからです。

プライバシー情報との紐付がされないように利用目的を制限

  マイナンバーはマイナンバー法によって利用目的が厳しく制限されています。こればマイナンバーと個人情報及びプライバシー情報を紐づけることによって、その個人の知られたくない情報が外へ漏れていく可能性があるからです。

 たとえば、「どこかの店で酔っぱらって出入り禁止になって、そのお店のブラックリストに載っている」や、「消費者金融の借金の与信情報」、「レンタルビデオの延滞金を払っていない情報」、「どんなビデオを借りているか?」、「マニアのECのお店で購入した、マニアックな趣味嗜好の情報」などのあまり知られたくない個人情報がリスト化されていたりすることがあります。そのリストにマイナンバーを合わせることで個人を特定したプライバシー情報を作ることができてしまいます。

 万が一、そのリストを持っている団体や組織から、リストがなにかの原因で流出し、他のリストと統合されたり、ある個人がその両方のリストに共通に存在した場合、本人の意図しないところで個人情報やプライバシー情報が統合されてしまうかもしれません。

 このようなリストへのマイナンバーの利用を許した場合、国が個人のプライバシー情報の意図しない使われ方に加担することになります。こうした事象が起きないようにするために、マイナンバーは利用目的が法律に明記されています。(法律に明記されることは非常に重要なことで、国会で議決を経ない限り目的を変えることができないこととなり、変更することはハードルが高くなります。このような手続きを経て、マイナンバーはたとえ国でも簡単には利用できないようにしています)

 マイナンバーを実際に行政手続きで使う場面(法律にすでに明記されている法律手続き、具体的には納税と社会保障分野)でも、マイナンバーを保持する事業者に対しては安全に管理をする措置が求められています。

企業がとるべきマイナンバーの安全管理措置

  それでは、企業はどのような管理措置をとれば良いのでしょうか?

 安全管理措置をとるという点では、収集したマイナンバーを外部に流出させない措置が必要です。収集したマイナンバーはほとんどの企業においてコンピューター上で保管されるでしょうから、このコンピューター上での安全管理措置が必要となります。流出防止だけでなく、消失防止の措置もしなくてはいけません。

 以下の観点で安全管理を行うとよいと思います。
①マイナンバーを保管するコンピューターを限定する。(流出防止)
②マイナンバーを保管するコンピューターのバックアップを行う(消失防止)
③そのコンピューターの暗号化や侵入防止措置を確立する(流出防止)

 中小企業にとってはコンピューターの管理は容易ではありません。この観点からは給与のシステムと合わせてクラウドの仕組みも検討するとよいと思います。

 もうひとつ、人的な安全管理措置も必要となります。
マイナンバーは利用目的が限られていると言いました。社内利用する場合も同じです。具体的には、例えば人事調書の中にマイナンバーを入れ、その人事調書を使って評価を行うなどすると「利用目的の違反」となります。

 仮に人事の担当者が評価とマイナンバーを紐付け、その情報が漏れて社員に損害が生じた場合、社員から会社に対して損害賠償があっても会社は拒めない可能性がある、ということです。

 社員のマイナンバーとは言え、給与など直接マイナンバー業務に携わる人間以外は、マイナンバーを利用してはいけないのです(本来は見てはいけない)。ですからマイナンバーの利用については、人的な利用範囲の限定も必要となります。

 このようにマイナンバーは今までの個人情報と違い1レベル上の管理、管理措置が必要となるということを頭に入れ対応を考えるとよいと思います。

 ここまで、6回にわたりマイナンバーについてお伝えしてきました。企業にとって大事なのは
 ・制度の趣旨と理解
 ・企業がすべきこととして
   ・教育
   ・安全管理措置
 をしっかり理解して、現実的にそうした対応をできるかをこの時期に確かめておくべきことかと思います。中小企業であれば、給与計算などはパッケージソフトを使っていることが多いでしょうから、最新版に更新すれば対応はできるでしょう。個人情報保護は、教育を通じて行うことで社員に理解してもらうことが可能でしょう。あとは、システム的な措置は現実的に取れる体制を考えることが重要です。

 マイナンバーを恐れる必要はありません。ルールに従って措置を講ずれば良いだけですので。自社の力だけで対応できそうもなければ、マイナンバーに詳しいコンサルタントや税理士、社労士、またシステム会社に相談するのもおすすめです。

まとめると

・社員から預かったマイナンバーは安全な管理措置が必要
・コンピューター上に保管をするので、消失、流出防止、両方のケアが必要
・合わせて人的な措置も必要
・目的外にマイナンバーを社内利用でも利用してはいけない

HRプロでは、マイナンバーに関するセミナー情報を豊富に掲載しています。ご都合にあわせてぜひ参加してみてください。
  • 1

この記事にリアクションをお願いします!