そろそろ無視できないマイナンバー⑧安全管理措置

• 2015年07月07日
• マイナンバー

出典）　内閣官房マイナンバーＨＰ　広報用ポスター

そろそろ無視できないマイナンバー⑧

前回に引き続き、マイナンバーについての8回目です。

前回の記事も是非、ご覧ください。　⇒　そろそろ無視できないマイナンバー⑦

記載内容は6月1日時点での情報を元に作成しています。

最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。

ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として

1. （Ａ）組織体制の整備
2. （Ｂ）取扱規定に基づく運用
3. （Ｃ）取扱状況を確認する手段の整備
4. （Ｄ）情報漏えい等事案の対応する体制の整備
5. （Ｅ）取扱状況の確認及び安全管理措置の見直し

上記の5つがありました。前回はＡについての話でした。

Bの「取扱規定等の基づく運用」については運用状況を確認するために次のようなことを記録することを求めています。 

• ・マイナンバーを含む個人情報ファイルの利用・出力状況の記録
• ・書類・媒体等の持ち出し記録
• ・マイナンバーを含む個人情報の削除・廃棄記録
• ・削除・廃棄を委託した場合、これを証明する記録等
• ・マイナンバーを含む個人情報を情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況（ログイン実績、アクセスログ等）の記録

紙媒体については管理簿の運用などで問題ありません。

• ・基本方針、取扱規定に基づくマニュアルなどに管理簿等の運用方法を定めることが必要です。

情報システムを運用している場合は技術的安全管理措置にも関わってきますが、適切なシステムの選定を行いましょう。

マイナンバーの削除・廃棄については自社で処分する場合と、委託処分が考えられます。

契約にもよりますが、廃棄物の中身について関知しないのであればマイナンバー業務の委託にはあたらないと考えられます。

しかしながら 

• ・完全に廃棄されるまでは委託者として廃棄されるマイナンバーへの安全管理措置を講ずる義務はあります。

過去にも廃棄業者の不注意、故意による情報漏えいが発生していることも事実です。 

適切な委託先の選定が第一ですし、非開示契約なども必要でしょう。

手間を考えると

• ・可能な限り、自社で処分することが望ましいと思います。

ガイドラインによると、

• ・記録の保存は、情報の種類、量、システムを取り扱う職員の数、点検・監査の頻度等を総合的に判断して事業者が定める

となっています。

法定保存期限が定められている書類はもちろんその通り保存しなければなりませんが、

任意の記録に関しては安全管理措置に影響が出ない程度に定めます。

• ・このBについても中小規模事業者の特例があります。

ガイドラインによると

• マイナンバーを含む個人情報の取り扱い状況のわかる記録を保存する

となっています。具体例として

1. 1.業務日報などに、マイナンバーなどの入手、廃棄、源泉徴収票の作成日、本人への公布日、税務署への提出日等の取り扱い状況を記録する
2. 2.取扱規定、事務リストなどに基づくチェックリストを利用して事務を行い、その記入済みチェックリストを保存する

などが挙げられています。

こちらも日常業務を少し整備することで対応することができそうです。

今回はここまで

マイナンバーの相談はお近くの社労士まで