今回は、第5回で掲載した「マイナンバーQ&A」の第2弾です。なお、マイナンバーに関するQ&Aについては、内閣官房のマイナンバーWebサイト特定個人情報保護委員会のWebサイトも、併せてご覧ください。


制度について

Q.なぜマイナンバーの取扱いは厳しく規制されているのか?

A.なりすましによる犯罪を防ぐため。米国などでは大きな被害が出ている。

マイナンバーの取扱いに関しては、本人確認の徹底、利用目的の厳格化、規程の作成、担当者の監督教育、体制の整備…など、たくさんの規制や義務が課せられています。

これは、本ブログの第1回でも触れたように、マイナンバーを使った「なりすまし犯罪」を防ぐためです。実際、番号制度を既に導入している諸外国では、なりすまし犯罪が多発しているところがあります。例えば、米国ではなりすまし被害は2006年~2008年の3年間で1,170万人、損害額が毎年約5兆円と報告されているそうです(連邦取引委員会による)。米国では番号制度導入時期が古かったこともあり、民間での使用に制限がありません。クレジットカードの作成なども社会保障番号(米国のマイナンバー)が利用されてきました。さらに、本人確認を番号のみで実施していたことから、なりすましを防ぐ手立てが無く、先述のような被害が広がったと考えられています。

このような海外の状況を受けて、日本ではマイナンバーの不正利用を防ぐため、番号の利用範囲を行政目的に限定するとともに本人確認の方法や安全管理措置が厳格に取り決められることとなったのです。

参考:「第38回指定都市市長会議」のWebサイト(資料5-1)

Q.マイナンバーは今後も行政目的でしか使えないのか?

A.民間領域への活用拡大に向けて議論が進んでいる。

マイナンバーは、開始時点では「税・社会保障・災害対策」の3つの行政目的にしか使用できませんが、それ以外の目的、特に民間領域での活用についても議論されています。現時点では、法律施行後3年をめどに、その段階での法律の施行状況等をみながら検討を加え、必要があれば措置を講じる(領域を拡大していく)こととされています。

2015年3月10日には、金融、医療分野への適用拡大を含めたマイナンバー法改正案が閣議決定しています。(H27.3.10 日本経済新聞:預金口座にもマイナンバー 18年から任意で 閣議決定)ただし、この改正案は今国会で衆議院は通過したものの、日本年金機構の基礎年金番号流出事件の影響を受けて参議院では審議が棚上げされており、成立するかどうかは微妙な状態となっています。

■2015-09-04補足:
上記のマイナンバー改正法は、日本年金機構の基礎年金番号流出問題を受け、機構がマイナンバーを扱う時期を遅らせるなどの修正を参議院で加えて可決されたため、衆議院に戻されていましたが、平成27年9月3日の衆議院本会議にて賛成多数で可決、成立しました。また、同時に個人情報保護法も改正されています。

事業者の取扱いについて

Q.マイナンバー法における中小規模事業者の定義とは?

A.原則として従業員100人以下の事業者。ただし例外あり。

本ブログの第3回でも触れましたが、マイナンバー法における中小規模事業者とは、原則として従業員100人以下の事業者です。従業員については、以下のような定義が特定個人情報保護委員会のFAQに掲示されています。

Q11-2 「中小規模事業者」の定義における従業員には誰を含みますか。また、いつの従業員の数ですか。

A11-2 従業員とは、中小企業基本法における従業員をいい、労働基準法第20条の規定により解雇の予告を必要とする労働者と解されます。なお、同法第21条の規定により第20条の適用が除外されている者は従業員から除かれます。具体的には、日々雇い入れられる者、2か月以内の期間を定めて使用される者等が除かれます。
中小規模事業者の判定における従業員の数は、事業年度末(事業年度が無い場合には年末等)の従業員の数で判定し、毎年同時期に見直しを行う必要があります。

役員は、当然のことながら解雇の予告は必要ありませんので、従業員には含まれません。

また、以下のいずれかに該当する事業者は、従業員が100人未満であっても、マイナンバー法では中小規模事業者にはなりませんので、ご注意ください。

  1. 個人番号利用事務実施者(健康保険組合など)
  2. 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者(税理士、社会保険労務士など)
  3. 金融分野の事業者
  4. 個人情報取扱事業者(常時5000人以上の個人情報を保有する事業者)
Q.中小規模事業者が、ガイドラインの安全管理措置義務において一部軽減されている項目を教えてほしい

A.一部の安全管理措置義務は軽減されるが、免除される項目は無いことに注意

ガイドラインではマイナンバーを扱う全ての事業者に安全管理措置を義務付けていますが、その中の一部の項目については、中小規模事業者に関して軽減措置が設けられています。

※以下の表は、特定個人情報保護委員会事務局が作成した「マイナンバーガイドライン入門」の参考資料より抜粋し、一部筆者にて加工したものです。

安全管理措置の内容(本則) 中小規模事業者の対応方法
A.基本方針の策定
基本方針の策定は、重要視されているが義務ではない。 同左
B.取扱規程の策定
事務の流れを整理して、具体的な取扱規程を策定する義務がある。 規程を策定する義務は無い。以下の点を取り決めておく。

  • 特定個人情報等の取扱方法などを明確化する。
  • 事務取扱担当者が変更になった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
C.組織的安全管理措置
a 組織体制の整備
安全管理措置を講ずるための組織体制を整備する。 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましいとされているが、義務ではない。また、組織体制を整備する必要は無い。
b 取扱規程に基づく運用
取扱規程に基づく運用状況を確認するため、システムログ又は利用実績等を記録する。 特定個人情報等の取扱状況が分かるような記録を保存する。
具体的には、特定個人情報等の取得や廃棄を台帳に記録すること、源泉徴収票などマイナンバーを含む帳票類の作成日、帳票名、数量、交付日、提出日、提出先、提出作業者などを台帳に記録することなどが考えられる。
c 取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備する。 同上
d 情報漏洩等事案に対応する体制の整備
情報漏洩等が発生または兆候が把握した場合に、適切かつ迅速に対応するための対応体制を整備する。
また、任意規定ではあるが、情報漏洩等事案が発生した場合、二次被害の防止、類似事案の発生防止の観点から、事案に応じて、事実関係及び再発防止策を早急に公表することが重要であるとされている。
情報漏洩等事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておく。
e 取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。 責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。
D.人的安全管理措置
a 事務取扱担当者の監督
特定個人情報等が取扱規程等に基づき適正に取扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。 同左
b 事務取扱担当者の教育
事務取扱担当者に特定個人情報等の適正な取扱いを周知徹底するとともに、適切な教育を行う。 同左
E.物理的安全管理措置
a 特定個人情報等を取り扱う区域の管理
特定個人情報等を取り扱う情報システムを管理する区域(管理区域)および特定個人情報等を取り扱う事務を実施する区域(取扱区域)を明確にし、情報漏洩を防止するための物理的措置を講じる。 同左
b 機器および電子媒体等の盗難等の防止
特定個人情報等を取り扱う情報システムを管理する区域(管理区域)および特定個人情報等を取り扱う事務を実施する区域(取扱区域)を明確にし、情報漏洩を防止するための物理的措置を講じる。 同左
c 電子媒体等を持ち出す場合の漏洩等の防止
特定個人情報等が記録された電子媒体又は書類を管理区域又は取扱区域から持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じる。 特定個人情報等が記録された電子媒体又は書類の移送に当たっては、安全な方策を講じる。
d 個人番号の削除、機器及び電子媒体等の廃棄
個人番号又は特定個人情報ファイルを削除した場合、又は電子媒体を廃棄した場合は、削除又は廃棄した記録を保存する。削除又は廃棄を委託した場合は、委託先から証明書等を発行してもらい確認する。 特定個人情報等を削除・廃棄したことを確認する。(記録までは義務付けられていない。)
F.技術的安全管理措置
a アクセス制御
情報システムを利用して特定個人情報等を取り扱う場合、権限を持たない者にアクセスさせないなど、適切なアクセス制御を行う。 特定個人情報等を取り扱う機器(パソコンなど)を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。また、機器に標準装備されているユーザー制御機能(Windowsのユーザーアカウント機能で起動時パスワードを設定する、など)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
b アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。 同上
c 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。 同左。
※企業規模に適した規模の対策になると思われる。
d 情報漏洩等の防止
特定個人情報等をインターネット等により外部送信する場合、暗号化するなどして通信経路における情報漏洩等を防止するための措置を講じる。 同左。
※企業規模に適した規模の対策になると思われる。
Q.事務取扱責任者は選任すべきなのか?

A.組織的安全管理措置の主旨を考えれば選任は必要。ただし中小規模事業者は「望ましい」扱い。

「事務取扱担当者」と異なり、ガイドライン中には「事務取扱責任者」という言葉は明確には出てきません。しかし、ガイドラインの組織的安全管理措置の箇所では「組織体制の整備」が義務として掲げられており、その手法の例示として「事務における責任者の設置及び責任の明確化」を挙げています。あくまでも例示ではありますが、組織的に事務取扱を行う以上、責任者不在というのは考えられないと思われます。どのような名称であれ、事務取扱担当者の上位には責任者を設置すべきです。

なお上述の通り、中小規模事業者については「事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい」とされています。

Q.会社として個人番号カードの取得は推奨すべきか?

A.推奨程度であれば問題ないが、義務とはされていないので取得の強制は不適切であると考えられる。

個人番号カードは顔写真付きなので本人確認が容易になることから、事業者としては自社の従業員全員に持っていてもらいたいというのが本音かもしれません。ただし、この個人番号カードの取得は法的にはあくまでも任意とされているため、強制させることは適当ではありません。強制することに対して特段罰則などは設けられていませんが、個人の自由を尊重する意味で、推奨程度に留めておくのが良いでしょう。

Q.マイナンバー取得時に収集した個人番号カードなどの写しは破棄してもよいか?

A.破棄してもしなくても良い。ただし、どちらを選択しても安全管理措置上の義務が発生するので注意。

番号確認に使用した通知カードや個人番号カードの写し、本人確認に使用した運転免許証やパスポートの写しなどについて、収集後にどう取り扱うかという法的な規定は、平成27年7月13日時点では存在しません。従って、事業者の裁量で保管するか廃棄するか(あるいは返却するか)、を決めることになります。

廃棄してしまえば、その情報については、廃棄の記録さえきちんと残せばそれ以降の管理コストはゼロ、情報漏洩のリスクもゼロになります。保管すれば、管理の手間は増えるものの、システムへのマイナンバー入力時に誤った番号を入力してしまったとしても再度参照して修正することができますし、公的機関等の監査を受ける場合に適正な事務を実施した証跡として使用することも考えられます。このようにそれぞれにメリットがあり、どちらが良いとは一概には言えませんので、各事業者が個々の事情に応じて判断することになると思われます。

Q.マイナンバーをデータファイルで扱う場合は暗号化しなければならないか?

A.インターネットを通じて送信する場合は暗号化が例示として挙げられているが、それ以外のケースでは必須ではない。

ガイドラインの技術的安全管理措置の箇所では、インターネットを通じて送信する場合、通信経路上で情報漏洩しない措置をするよう求めています。インターネット経路上で情報が漏洩しないようにするには、SSLに代表される通信経路暗号化技術で暗号化することが必要です。インターネット経路上で暗号化されていない情報は、どこで誰にのぞき見られるか分からないからです。例えば、普通の電子メールに通知カードの写しをスキャンしたものを添付して送信する行為は、暗号化されておらず非常に危険です。インターネットにおける暗号化の詳細についてはここでは説明しませんが、インターネットを通じてマイナンバーを送信できるのは、クラウド事業者などが提供するマイナンバーオンライン収集サービスを利用する場合や、インターネットVPNを使う場合などが考えられます。

一方で、社内のみでデータファイルを扱う場合については、暗号化(ファイルシステム上の暗号化)はガイドライン上では必須とされていません。ただし、ノートPCなど可搬性の高い物にマイナンバーを保存している場合は、盗難や紛失に備え、暗号化をしておくことが望ましいと思われます。

 

監修:社会保険労務士法人アクシス代表社員 樫葉 稔

 

この記事が気に入ったら
いいね!しよう

最新情報をお届けします