第87回 不要になったマイナンバーの廃棄処分と処分記録の保存

政府の「マイナンバーガイドライン」には、事業所は、社会保障・税に関わる事務処理のために従業員や取引先、株主などの個人からマイナンバーを取得し、事務処理・保管の作業を行い、不要になったマイナンバーを付けた特定個人情報ファイルは廃棄処分する――と3つのプロセスが指示されている。

このうち、廃棄処分は、単に廃棄処分しました、というだけでなく、廃棄処分した記録を残しておく必要がある。

ガイドラインではまず、「番号法で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、個人番号関係事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければなりません」と記している。

具体的な廃棄方法は情報ファイルからの個人番号の削除、のほか、保管していた情報機器や電子記録媒体の廃棄だが、その廃棄処理をした記録も残さなければならない。

ガイドラインでは「個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することとなります」とし、また、他事業者に委託する場合でも、「削除又は廃棄の作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する必要があります」と他事業者に任せたと言っても、廃棄処分の責任は負っていることを明記している。

さらに、ガイドラインでは「廃棄」の具体的方法を5つ例示している。

@特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
A特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
B特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
C特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
D個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした保管手続を定める


【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization