廃棄・削除が義務
第3回は、民間企業で必須となる3つのマイナンバー対応(①個人番号の収集、②個人番号の保管、③帳票への記入と行政機関などへの提出)のうち、②個人番号の保管(安全管理措置)について詳しく解説する。
特定個人情報(個人番号が含まれた個人情報)は、個人番号を記載した書面を行政機関に提出する場合など以外は保管してはならない。従って、書面を提出する事務を行う必要がなくなった時点で個人番号を廃棄・削除しなければならない。このように廃棄・削除が義務である点が、個人番号の大きな特徴である。例えば、従業員の個人番号は、退職後、「扶養控除等(異動)申告書」の法定保存期間である7年が経過した時点で、廃棄・削除する必要がある。
中小企業も対象
個人情報保護法は、5千件以下の個人情報のみを取り扱う企業には適用がなかったが、マイナンバー法は全ての企業に適用がある。従って、これまで個人情報保護法が定める安全管理措置などを講じてこなかった中小企業においても安全管理措置を講じる必要があるため、大きな影響がある。
ただし、マイナンバー法のガイドラインが定める安全管理措置には、「中小規模事業者」(従業員数が100人以下の企業であって、委託を受けている企業や金融分野の企業などを除いたもの)に対する軽減措置が定められている。
担当者を明確化
まず、安全管理措置の前提として、①個人番号を取り扱う事務の範囲、②特定個人情報などの範囲、③特定個人情報などを取り扱う事務に従事する従業者(事務取扱担当者)を明確にすることが必要である。例えば、①は源泉徴収票を取り扱う事務、②は従業員・扶養親族などの氏名・個人番号、③は税務関係の帳票を取り扱う経理担当者、と明確にすることになる。その上で、基本方針を策定することが重要であるとされている。
一般の企業においては取扱規程などの策定が義務とされている。これに対し、中小規模事業者では、その策定は義務ではないが、①特定個人情報などの取り扱いなどを明確化する、②事務取扱担当者が変更となった場合、確実な引き継ぎを行い、責任ある立場の者が確認することが求められている。
組織的安全管理措置として、一般の企業においては、システムログまたは利用実績の記録や、特定個人情報ファイルの取り扱い状況を確認するための手段の整備などが義務化されている。これに対し、中小規模事業者では、①特定個人情報などの取り扱い状況の分かる記録を保存する、②情報漏えいなどの事案の発生などに備え、従業者から責任ある立場の者に対する報告連絡体制などをあらかじめ確認しておく、③責任ある立場の者が、特定個人情報などの取り扱い状況について、定期的に点検を行うことなどが求められている。
また、人的安全管理措置として、事務取扱担当者の監督および教育が必要である。
セキュリティ対策も
物理的安全管理措置としては、さまざまなことが求められている。典型的な例としては、特定個人情報が保存されたPCが盗難に遭わないように管理を厳重にした上で、帳票を取り扱う担当者以外の従業員が見ることができないようオフィスの座席の配置などを工夫して間仕切りを設置したり、オフィスから帳票を持ち出す際には封筒や鞄に入れることなどが求められる。
さらに技術的安全管理措置として、情報が漏えいなどしないようさまざまな技術的な措置が求められている。中小規模事業者においては、特定個人情報を取り扱うPCをインターネットに接続しないか、ファイヤーウォール機能のあるルーターを使用するなどして外部からのアクセスを防止することが、最低限求められている。
(牛島総合法律事務所弁護士・影島広泰)
最新号を紙面で読める!