マイナンバー制度の導入を前に② ~ 情報漏洩の懸念と導入スケジュール ~
今年10月から、住民票の住所宛にマイナンバーの「通知カード」が簡易書留で郵送されます。
マイナンバーとマイナンバーを含む「特定個人情報」の取扱については、民間の事業者にも「番号法」により情報漏洩を防ぐための様々な対応が義務付けられている他、従来の個人情報保護法に比べ、格段に重い罰則も定められています。
今回はマイナンバー制度の導入スケジュールを念頭に、事業所に求められる対応を検討していきます。
(1)マイナンバーの取扱は年内には始まる?
制度の導入は来年28年1月とされていますが、平成28年分の給与所得者の扶養控除等異動申告書や1月以降の退職者の源泉徴収票等へのマイナンバー記載が義務化されることを考慮しますと、、今年の年末調整の事務作業に伴うマイナンバー収集が想定されます。
(2)10月に着手では間に合わない?
マイナンバーを従業員から本人確認のうえ取得するプロセスも、マイナンバーを利用・提供し、保管し、廃棄するプロセスも、すべて番号法の規制の下にあります。
企業等は10月以降始まるマイナンバーの取得と同時に、マイナンバーを含む「特定個人情報」を保護する「安全管理措置」を政府のガイドラインに沿って実施しなければならず、限られた時間での対応が求められます。
(3)マイナンバー制度の根拠と懸念
マイナンバー制度は平成25年に制定されたいわゆる番号法(マイナンバー法)に基づく制度です。
国民に共通の番号を振り出す制度については80年代から構想がありましたが、この制度は平成23年の社会保障・税番号大綱により、社会保障と税制度に関わる個人情報を各人一つの番号で紐付ける制度として全体像が取りまとめられています。
先進諸国でも既に導入されている共通番号制度ですが、情報漏洩の被害も少なくありません。具体的には「共通番号の漏洩を通じて、本人の意思と無関係に個人情報が名寄せされ、結合される」ことで様々な被害が想定され、同大綱でも次のように触れています。
(4)マイナンバー等の情報漏洩の懸念
同大綱では、共通番号制度の導入により国民に生じうる懸念として次の3つを挙げ、それぞれ「制度上」「システム上」の安全保護措置をとることとされています。
1.国家管理への懸念
国家により個人の様々な個人情報が「番号」をキーに名寄せ・突合されて一元管理されるのではないかといった懸念
2.個人情報の追跡・突合に対する懸念
ア.「番号」を用いた個人情報の追跡・名寄せ・突合が行われ、集積・集約された個人情報が外部に漏えいするのではないかといった懸念
イ.集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念
3.財産その他の被害への懸念
「番号」や個人情報の不正利用又は改ざん等により財産その他の被害を負うのではないかといった懸念
(5)マイナンバーの受け入れ態勢の整備
10月以降、従業員等からマイナンバーを取得することを考慮し、政府からは取扱のガイドラインや安全管理措置の例示など発表されています。
具体的には、次の作業が必要と考えられます。
詳細はご相談ください。
1.従業員からのマイナンバーの取得準備
ア.マイナンバーを取扱う事務を明確化
イ.特定個人情報の範囲の明確化
ウ.特定個人情報取扱事務の担当者の明確化
エ.取得方法と本人確認方法の決定
オ.特定個人情報取り扱いの記録方法の決定
カ.従業員への周知(通知カードの到着)
キ.従業員への提供依頼と利用目的の通知
ク.本人確認して取得、保管、利用・提供、廃棄
ケ.履歴を記録するなど、安全管理措置の実施
2. 組織体制の整備
ア.番号法の「中小規模事業者」か判断
イ.特定個人情報取り扱いの基本方針策定
ウ.特定個人情報取り扱いの社内規程等策定
エ.安全管理措置の導入
a.組織的安全管理措置
b.人的安全管理措置
c.物理的安全管理措置
d.技術的安全管理措置
オ.委託先での安全管理措置について契約
カ.再委託について許諾
(塩澤)
※源泉徴収票について、27年度分からの記載を前提とした記述がありましたのでPDF版と併せて正確な記載に改めました。(2015.7.31)