集めたマイナンバーを管理するうえでの注意点は?
マイナンバーは、一般の個人情報よりも厳しい管理が必要だといいますが、現在の情報管理体制をどのように変える必要があるのでしょうか。主な違いについて教えてください。
書類やデータの廃棄についても気を配る必要があります。
書類やデータの廃棄についても気を配る必要があります。会社がマイナンバーを保有できるのは、行政機関等にマイナンバーを記載した書面を提出する事務を行うため必要な場合に限られます。
ですので、そのような事務を行うにあたって必要がなくなった場合には、書類やデータを廃棄する必要があります(法律によって一定期間の保管が義務付けられている書類については、その期間が経過したら速やかに廃棄することになります)。
また、ここで気を付けるべきことは、次の Point 2 にも関連することですが、廃棄したことについての記録を残すことです。
記録の内容としては、削除するファイルの種類・名称、責任者・取扱部署、削除・廃棄状況等が考えられます(個人番号自体は記録しないようにしましょう)。
将来的に再び取引をする可能性がある相手のマイナンバーについても、必要がなくなった場合には、保管することはできません。
例えば、取引再開時までマイナンバーにアクセス制御を行うという措置をとった場合であっても、不確定な取引再開時に備えて保管を続けることはできないとされています。
マイナンバーの管理状況や利用状況を記録する必要があります。
マイナンバーの管理状況や利用状況を記録する必要があります。マイナンバーについては、運用状況を確認するために、システムログや利用実績を記録することが求められています。
記録する内容として考えられるものは、特定個人情報保護委員会が発表しているガイドラインによると、以下のものになります。
- 特定個人情報ファイルの利用・出力状況の記録
- 書類・媒体等の持ち出しの記録
- 特定個人情報ファイルの削除・廃棄記録
- 削除・廃棄を委託した場合、これを証明する記録等
- 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
個人情報保護法よりも、さらに厳格な安全管理措置を講じることが求められています。
個人情報保護法よりも、さらに厳格な安全管理措置を講じることが求められています。個人情報保護法においても、安全管理措置について定められていますが、マイナンバーでは、より厳格な措置を求めています。
例えば、マイナンバーのガイドラインでは、物理的安全管理措置について、個人情報については規定されていなかった「管理区域」と「取扱区域」という概念が設けられています。
これらは、マイナンバーを取り扱うシステムを管理する区域(管理区域)と、マイナンバーを取り扱う事務を実施する区域(取扱区域)をいいます。これらの区域を明確にし、物理的安全管理措置を講じることが求められています。
特定個人情報保護委員会が公表しているQ&Aの、平成 27 年 8 月に追加された内容によりますと、各区域で同じ安全管理措置を講じる必要はないとされています。
具体的には、取り扱うマイナンバーの量や利用頻度、使用する機器や環境等によって、講ずべき安全管理措置は異なるとされています。
管理区域については、入退室管理等を行い、取扱区域については、間仕切りの設置や座席配置の工夫を行うなどして、マイナンバーが担当者以外の目に触れないような措置を講じることになります。
- ▼連載「中小企業とその社員のためのマイナンバー対応Q&A」
-
- 第12回 安全管理措置などの義務が守れそうにありません!
- 第11回 社員からマイナンバーの提供を受けるときの「本人確認」って?
- 第10回 そもそもマイナンバー制度を始めた目的は?
- 第9回 もしもマイナンバーの提出を拒否されてしまったら?
- 第8回 法人番号とは何? どんなときに使うものなの?
- 第7回 採用内定者や派遣社員からマイナンバーを取得するタイミングはいつ?
- 第6回 クラウドサービスを使って収集・保管するときに気をつけることは?
- 第5回 社員などから集めたマイナンバーを管理するうえでの注意点は?
- 第4回 マイナンバーについて、いつまでに、どのような内容の従業員教育が必要?
- 第3回 もしも、マイナンバーを漏えいさせてしまったら?
- 第2回 アルバイトからマイナンバーを取得するときに注意することは?
- 第1回 マイナンバー法は、すべての事業者に関係する法律なの?
