SPNの眼

~マイナンバー制度と危機管理~(下)(2014.12)

2014.12.03
印刷

 みなさま、こんにちは。今回の『SPNの眼』は、先月に引き続きマイナンバー制度を取り上げます。現在のスケジュールでは2015年10月に個人に対するマイナンバーの通知が開始され、2016年1月には実際の利用が開始されます。マイナンバー制度に関しては、さまざまな関連制度の整備が順次進んでおり、その仕組みや影響の範囲をあらかじめ把握しておくことが危機管理上重要であるといえます。今回は、新たに定義されたマイナンバーを含む個人情報である「特定個人情報」、それを監視する立場にある「特定個人情報保護委員会」、事業者として求められる管理措置などについて解説します。マイナンバー制度では事業規模に関わらず、すべての企業に対して情報管理意識を高める対応が求められています。

※マイナンバー制度全体のあらましと制度の詳細、運用上の注意点については前回の「SPNの眼~マイナンバー制度と危機管理~(上)」に解説しています。あわせてご参照ください

1.特定個人情報

 「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」(通称:番号法)では、マイナンバーを含む個人情報の外部への漏えい等を懸念に対処するため、マイナンバーを含む個人情報を「特定個人情報」と定義し、個人情報保護法令の規定に加え、特定の規定を設けています。

 番号法の規定された場合を除き、特定個人情報を収集、保管することや、特定個人情報ファイルの作成が禁止されています。また、特定個人情報保護委員会による監視・監督等の制度上の保護措置や、特定個人情報の提供・照会は原則として情報提供ネットワークシステムを用いることとするなどのシステム上の安全管理措置が講じられています。制度上の保護措置の一つとして、特定個人情報の安全管理措置の義務付けに加え、特定個人情報保護評価措置の制度が導入されています。

 ここで注意すべきは、個人情報保護法ではあらかじめ「本人の同意」を得ることによって当初の目的を超えた利用が認められますが、特定個人情報については認められていないというところにあります。番号法は個人情報保護法等に対して上書きするような形で特別法として制定されており、その中で特定個人情報については、番号法別表第一あるいは地方公共団体の条例で定めた事務以外へ利用することを禁止しています。

※「行政手続きに行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」79項別表第一(第九条関係)

※個人情報第18条:個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。

※個人情報第16条:個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

内閣府「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(案)」

内閣府表
h4 id=”a02″>2.マイナンバー制度の個人情報保護の仕組み

 下記の図は、内閣官房社会保障改革担当室が公開したマイナンバー制度における「個人情報保護の仕組み」をまとめたものです。

内閣官房社会保障改革担当室「個人情報保護の仕組み」

仕組み図

 本制度の大きな特徴として、マイナンバーに関わる個人情報保護がきちんとおこなわれているかを監視・監督する機関として「特定個人情報保護委員会」という専門の組織が作られています。この委員会は、マイナンバーに関する監視・監督をおこなうことになっており、他の省庁等から独立した特別の組織になっています。

 ちょうど、企業間の取引が公平公正におこなわれているかを監視する公正取引委員会と同じような位置づけです。この委員会のもとでさまざまな情報管理の枠組みが作られていきます。

  1. 情報保護の評価
    特定個人情報保護委員会は、まず、制度開始の前にどのようにマイナンバーに関する情報を管理したらよいか企業等の参考にしてもらうために、「特定個人情報の取扱いに係る指針」や自治体等の行政機関がきちんとした管理がおこなえるようにするための「情報保護評価指針」等といったさまざまな指針・ガイドラインを策定しています。自治体等の行政機関に対してあらかじめその対応状況を確認する「情報保護評価」をおこない、その内容を広く公表する等の準備をおこなうとしています。
  2. 監視と監督
    そのうえで制度開始以降は、関係する自治体や企業等がきちんとした管理をおこなっているか監視するために、立入り検査や資料提出要求をおこない、必要であれば指導・助言、さらに問題がある場合には、勧告や命令を出せることになっています。また、その管理内容としては、利用・提供の制限や収集・保管の制限等の制度上の保護措置(利用等に関する規制)やシステム上の保護措置等まで幅広い対応をおこなうとしています。
  3. 罰則
    その他にもマイナンバー管理上の罰則が強化されています。個人情報保護法における個人情報取扱事業者に対する罰則の適用は、主務大臣からの是正命令に違反した場合、虚偽報告をおこなった場合等に限られている一方、番号法においては、類似の刑の上限が引き上げられているほか、正当な理由なく特定個人情報ファイルを提供・盗用した、人を欺く等して個人番号を取得したときなどの罰則を新設するなどの罰則が強化されています。

内閣官房社会保障改革担当室「罰則の類型」

罰則の類型

3.マイナンバーの安全管理措置

 番号法第12条では、個人番号の漏えい、滅失または毀損の防止その他の個人番号の適切な管理のために必要な措置を講じることが求められています。

 講ずべき安全管理措置の内容は、2014年9月に公表されたガイドライン素案の「(別添)特定個人情報の適正な取扱いに関する安全管理措置」に示されています。具体的な項目としては、

  1. 「基本方針及び取扱い規定等の策定」。
  2. 「組織的安全管理措置」・・・a.組織体制の整備、b.取扱規定等に基づく運用、c.取扱状況を確認する手段の整備、d.情報漏えい等事案に対応する体制の整備、e.取扱状況の把握及び安全管理措置の見直し。
  3. 「人的安全管理措置」・・・a.事務取扱担当者の監督、b.事務取扱担当者の教育。
  4. 「物理的安全管理措置」・・・a.特定個人情報等を取り扱う区域の管理、b.危機及び電子媒体等の盗難等の防止、c.電子媒体等を持ち出す場合の漏えい等の防止、d.個人番号の削除、機器及び電子媒体等の廃棄。
  5. 「技術的安全措置」・・・a.アクセス制御、b.アクセス者と識別の認証、c.外部からの不正アクセスの防止、d.情報漏えいの防止。

 が挙げられています。

 ここで注意すべきポイントとして、個人情報保護法では適用除外となっていた中・小規模な事業者であっても、番号法では例外なく安全管理措置を講じることが義務付けられている点です。(但し、現段階では中小規模事業者における対応方法についての具体的な記載はなく、「特定個人情報等の取扱状況のわかる記録を保存する」「特定個人情報等を削除・廃棄したことを確認する」「事務取扱担当者がいる場合、責任者と事務取扱担当者を区分することが望ましい」等の表現に留まっています。)また、民間企業から個人番号関係事務を委託、再委託をおこなう場合について、委託元の民間企業にて必要かつ適切な監督が求められる点も留意する必要があります。

 マイナンバーあるいはデータベース化されたマイナンバーについては、漏えい、滅失または毀損防止の観点から、そのシステムに対する安全管理措置を中心に対策を講じることが必要となってきます。番号法上は個人情報保護法と同様に、「安全管理のために必要かつ適切な措置を講じなければならない」という記載にとどまっており、その具体的な施策については特段の記載はありませんが、基本的には従来個人情報保護に関して各省庁が定めているガイドラインなどで要求されるレベルの安全管理対策を、マイナンバーや特定個人情報に対しても講じる必要があります。

4.情報収集と準備

 マイナンバー制度に限らず、新たな制度の運用開始時に共通する点は、新運用に即した各種マニュアルの更新も必要になってきます。業務・システム面の変更のみならず、個人情報保護に関わる規定等についても見直しや教育・研修を通じた正しい理解が必要となります。なぜなら、前述したように特定個人情報については、通常の個人情報以上に取り扱いに制限が発生するからです。その他にも業務や制度の変化については、個人番号を取り扱う従業員に対して、研修を実施することに加え、個人番号の取得対象者である従業員全員に対して、扶養家族分も含めて個人番号を提示してもらう必要がある旨を、早めに周知しておくことも重要だといえます。

 マイナンバーは税・社会保障・災害対策の分野に限定されているとはいえ、これからの企業活動に広範な影響を及ぼす(社会保障に関わる健康保険の各種届出や保険給付申請、税務に関わる源泉徴収票、給与支払い報告書などの提出書類への記載は制度開始から適用され、その後は労災保険、雇用保険、企業年金などにも拡大される)ことから、経営者をはじめ、全社的な正しい理解が必要になります。特に、マイナンバーに関する情報を漏えいした等の法律で定める違反行為をおこなった場合、漏えいの当事者が厳しい罰則の対象になるだけでなく、会社自体が罰金刑の対象になります。個人情報の漏えいに非常に敏感となっている社会情勢などを考えると、企業に対する社会の視線が厳しくなり、場合によっては企業そのものの責任を社会的に追及される可能性があります。

 また、特にマイナンバーの安全管理という面では、現在の顧客情報や技術情報等の管理体制が形骸化していないか今一度確認及びチェックする必要があります。
実際に現場の業務がどのようにおこなわれていて、本来あるべき姿からの乖離がないか、また当初想定していた管理体制が不十分になっていないか等、現状の管理体制の不備を(把握できていない状況自体も含めて)リスクと認識し、見直していく必要があります。マイナンバーはこれまで企業が管理していた情報よりも、機微性及びプライバシー保護の観点、漏えい時の情報主体・企業に及ぼすダメージ(病歴や所得といった機微な個人情報が収集・分析されるおそれ)の大きさ等から、さらに高次元の管理体制が要求されることになるとの理解が必要です

 物理的・技術的安全管理措置の観点はもちろんのこと、情報管理に関する現行のルールの存在の周知(社員教育等)はもとより、さらなる厳格化の検討や内容の明確化、管理職によるルール順守状況の確認徹底、規制や対策の穴への継続的対処といった人的・組織的な管理措置の観点まで含めて、総合的かつ徹底的に進めていくことがマイナンバー制度開始に向けた準備の一つであると言えます。

 その他、企業がマイナンバー利用の開始(2016年1月)までの期間を考慮すると、早期に体制やシステム構築に着手することが、より確実にマイナンバー制度の準備を完了させるうえで重要です。まだ政府で方針を検討中の事項が残されているものの、まずはできることから作業を開始し、最新の情報を収集しながら、対応していくことが望まれます。マイナンバー制度に関する参考になりそうな情報ソースを以下にいくつか紹介します。

※マイナンバー制度の今後の動向について、新しい指針やガイドラインが確定した際は、今後「情報セキュリティトピックス」で随時配信していきたいと思います。

■ 内閣官房社会保障改革担当室による社会保障・税番号制度のTwitter公式アカウント

■ 内閣官房の「社会保障・税番号制度サイト」

 このサイトには、マイナンバー制度に関係するさまざまな法令や制度そのものの概要説明、さらには質問コーナー等が設けられており、今後も最新の情報が随時提供されていきます。

主なコーナーとして

①社会保障・税番号制度とは

各コーナーを一覧でまとめるとともに、制度の概略をまとめた資料等を見ることができます。

【主な内容】

・マイナンバー広報資料

・番号制度導入によるメリット紹介資料

②事業者のみなさまへ

民間企業として、マイナンバー制度にどのように対応したらよいか、簡潔にまとめてあります。

【主な内容】

・民間事業者における取扱いに関するFAQ

・マイナンバー法における事業者に関係する規定

・民間シンクタンク公表「番号制度に伴う企業の事務対応に関する調査研究」の結果

③よくある質問(FAQ)

マイナンバーに関するさまざまな質問とその回答がまとめてあります。

Back to Top