第90回 厳しい安全管理措置負、周辺ビジネス登場の背景
マイナンバーは国内に居住する人に、原則的に1人、生涯1番号が割り振られて使用する。これによって、当初は社会保障と税に関して、行政事務処理上で必要になった際には、別々に保管されている個人データを参照して効率的に処理を行う。行政の無駄を省き、国民に公平な負担を求めるとともに、公平に便益を提供するのが目的である。
「番号が人に知られたら大変だ」と、過剰に危険を感じる向きもいるのだが、実は番号自体は名前と同じで、それ自体では意味を持たないので盗まれてもどうということはない。ただ、当人の他の個人データと紐づいている(マイナンバーと一緒の個人情報は特定個人情報と呼ぶ)と多少、意味は出て来る。他の場所で、同様にその人のマイナンバーと個人情報が紐づけられた「特定個人情報」が流出していて、それが組みあわされると、何か意味のある情報になる場合もある。1生涯で同じ番号を使うとなると、想定していない事態も出現してこないとは限らない。
従って、万一のリスクを考慮すれば、マイナンバーの取り扱いには厳格な枠をはめる必要がある。
個人情報にマイナンバーが加わった「特定個人情報」は適切に取り扱う有資格者による限定された業務以外の場所に流出することを防ぐ措置を講じなければならない。特定個人情報の取り扱いには、過剰なほどの厳格な保護措置を講じて、マイナンバーの世界が、機微情報などの個人にとって他人に絶対に知られたくない「プライバシー」の侵害につながるような事態にならないようにがんじがらめの取り扱い制約を設けているのはこのためである。
特定個人情報保護委員会のガイドラインの安全管理措置の規定では「個人番号及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません」と要求している。
そのために、マイナンバーを取り扱う事業所(事実上すべての企業や団体)は次のような措置を講じなければならない。
@基本方針の策定「特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です」。
A取り扱い規程等の策定「特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません」。
B組織的安全管理措置「組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し」。
C人的安全管理措置「事務取扱担当者の監督・教育」
D物理的安全管理措置「特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏えい等の防止、個人番号の削除、機器及び電子媒体等の廃棄」。
E技術的安全管理措置「アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止」
ただし、こうした規定を厳密に順守しようとすると、中小事業所には負担が過大になることが予想される。このために、中小事業所にはいくつか軽減措置が講じられている。その内容については別の機会に譲るが、中小事業所のみならず、大手、中堅企業にも本業以外のところで業務が多数発生するので、その業務の一部を外部に委託し、本業に専念することを選ぶ企業も多く出てきそうだ。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
「番号が人に知られたら大変だ」と、過剰に危険を感じる向きもいるのだが、実は番号自体は名前と同じで、それ自体では意味を持たないので盗まれてもどうということはない。ただ、当人の他の個人データと紐づいている(マイナンバーと一緒の個人情報は特定個人情報と呼ぶ)と多少、意味は出て来る。他の場所で、同様にその人のマイナンバーと個人情報が紐づけられた「特定個人情報」が流出していて、それが組みあわされると、何か意味のある情報になる場合もある。1生涯で同じ番号を使うとなると、想定していない事態も出現してこないとは限らない。
従って、万一のリスクを考慮すれば、マイナンバーの取り扱いには厳格な枠をはめる必要がある。
個人情報にマイナンバーが加わった「特定個人情報」は適切に取り扱う有資格者による限定された業務以外の場所に流出することを防ぐ措置を講じなければならない。特定個人情報の取り扱いには、過剰なほどの厳格な保護措置を講じて、マイナンバーの世界が、機微情報などの個人にとって他人に絶対に知られたくない「プライバシー」の侵害につながるような事態にならないようにがんじがらめの取り扱い制約を設けているのはこのためである。
特定個人情報保護委員会のガイドラインの安全管理措置の規定では「個人番号及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません」と要求している。
そのために、マイナンバーを取り扱う事業所(事実上すべての企業や団体)は次のような措置を講じなければならない。
@基本方針の策定「特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です」。
A取り扱い規程等の策定「特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません」。
B組織的安全管理措置「組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し」。
C人的安全管理措置「事務取扱担当者の監督・教育」
D物理的安全管理措置「特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏えい等の防止、個人番号の削除、機器及び電子媒体等の廃棄」。
E技術的安全管理措置「アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止」
ただし、こうした規定を厳密に順守しようとすると、中小事業所には負担が過大になることが予想される。このために、中小事業所にはいくつか軽減措置が講じられている。その内容については別の機会に譲るが、中小事業所のみならず、大手、中堅企業にも本業以外のところで業務が多数発生するので、その業務の一部を外部に委託し、本業に専念することを選ぶ企業も多く出てきそうだ。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization