労務関係の手続き上で必要となる機会が増えた「マイナンバー」ですが、正しい取り扱い方をご存知でしょうか。
この記事では特に個人情報を取り扱う企業ではどのようなことに注意をしてマイナンバーを管理すればよいか、解説します。
目次
マイナンバーの取り扱いの注意点
①正しい使用目的でのみ取り扱う
本来マイナンバーには使用用途が定められています。
元々、マイナンバー制度は国民の「社会保障」「税」「自然災害」によって生じる手続きを一括にまとめるために作られたという背景があります。
ですので、マイナンバーはこれらの目的以外で使用することが法律上禁止されています。
本来の目的に合わせた使用範囲でマイナンバーの運用を進めていくことが必要になります。
そのため、社員にマイナンバーの提出を求める際には、しっかりと目的を明確に伝えた上で提出してもらうようにしましょう。
仮に本人から了承を得ていたとしても後々大きなトラブルになりかねないため、マイナンバーを取り扱う際には漏洩しないよう、十分な注意が必要になります。
②本人確認を必ず実施する
マイナンバー取得における本人確認を改めて定義するのであれば「申請した相手が本人であるかどうか確認するための作業」ということになります。
よく聞く話ではありますが「以前仕事を一緒にしていた後輩だから、本人確認の必要はないか」「顔見知りだし問題ないよね」と、なってしまわないよう注意してください。
マイナンバーを取得する上で、もしくは登録する上であってはならないことが「他人へのなりすまし」です。
これからPマークを取得したいと考えているのであれば、個人情報のやりとりにはリスクがついて回ることを意識し、事前にトラブルを回避できるよう日頃から社員間であってもきちんと徹底した管理を心がけていきましょう。
また、マイナンバーを取得する際に必要となるのはマイナンバー通知カード、もしくは番号がわかるもの+免許証やパスポートといった身分を証明できるものの2点が基本となります。
保険証であれば追加で公的に身分を証明するようなものが必要になったり、個人番号があればそれ1枚で手続きが完了することもあったりと、提出するものによって用意するものが若干異なるため、今一度マイナンバー申請の要項をご確認いただけると幸いです。
その他にも
③従業者の教育
マイナンバーを取り扱う従業者に対しては、法令や社内規定に基づく適切な教育と訓練を実施し、正しい取扱いを徹底させる必要があります。
④委託先の監督
また、業務の一部を外部に委託する場合には、委託先が十分な情報管理体制を備えているかを確認し、必要に応じて継続的な監督を行うことが求められます。
プライバシーマーク(Pマーク)を取得している企業は、これらの対応を含めてマイナンバーを適切に管理し、個人情報保護に対する高い信頼性を維持したサービス提供が求められます。
Pマークとマイナンバーの関係性
①マイナンバーに関連する法令
マイナンバーの取り扱いは、個人情報の適切に管理したり漏えい防止策について規定した「個人情報保護法」やマイナンバーの利用範囲や取り扱い方法、保護措置などを定めた「マイナンバー法」に沿って行う必要があります。
特にPマーク取得事業者は、厳重にこれらの法令を遵守してマイナンバー及び個人情報を取り扱うことを求められます。
②特定個人情報事務取扱責任者と特定個人情報事務取扱担当者
マイナンバーの管理に責任をもつ特定個人情報事務取扱責任者は、
マイナンバーを取り扱う業務を実際に行う特定個人情報事務取扱担当者に対して適切な教育を行います。
指名や住所等の個人情報にマイナンバーが加わったものを特定個人情報と呼びます。
プライバシーマークの要求事項には、「個人情報を取り扱う業務において、作業責任者と作業担当者を明確にすること」が記載されており
マイナンバーは、「特定個人情報事務取扱責任者」と「特定個人情報事務取扱担当者」を設けることで「マイナンバーを閲覧・利用できる人を必要最低限に抑える」ことが求められます。
一般的には、社内のマイナンバーを管理する部署の責任者を「特定個人情報事務取扱責任者」に任命し、その部署で実際にマイナンバーを取り扱う業務の担当者を「特定個人情報事務取扱担当者」とすることが多いです。
安全管理措置の手引き
安全管理措置とは、個人情報漏洩、情報の毀損、破棄等が誤ってされないよう、個人データをきちんと保護、管理していくために講ずる安全的な措置のことを指します。
安全管理措置にはいくつか種類があり、以下のように何に対しての安全管理措置なのかが明確に記されています。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
以上の4分類をまとめて安全管理措置と言いますが、Pマーク取得においてもこちらの安全管理措置は守らなければいけない必須事項となっており、あくまで一例ではありますが、それぞれの措置について目指すべき指針を示します。
・組織的安全管理措置
安全的に管理できるような規定や手順書を作成し、運用する。
・人的安全管理措置
プライバシー保護に関する社員教育を浸透させる。
・物理的安全管理措置
入館や退館記録を徹底する。
・技術的安全管理措置
Webサイトやシステムへのアクセス制限を設ける。
このようにPマークの取得をすると、規定を準備するだけではなく、社員教育を通して情報セキュリティ意識を向上させたり、システムを用いたアクセス制限などを利用して、仕組的に個人情報の漏洩や悪用を防ぐことが大切です。
個人情報保護法の改正がマイナンバー制度に与える影響
マイナンバーも「個人情報」として扱う
2022年の個人情報保護法改正により、個人情報の定義が明確化され、マイナンバーが正式に個人情報に含まれることが明示されました。
改正前は、マイナンバーが個人情報に該当するかどうかが明文化されておらず、いわばグレーな状態でした。しかし実務上は個人情報として取り扱うべきものとされており、今回の改正によってその位置づけが法的に明確になった形です。
今回の法改正では、「身体的情報」や「個人識別符号」といった要素が個人情報の定義に追加されました。
たとえば、顔認証情報などの生体情報や、マイナンバーのような個人識別符号も個人情報に含まれると明記されています。
これにより、マイナンバーカードの交付を受けた人の情報やマイナンバーそのものも、明確に保護対象となる個人情報として取り扱う必要があることが法的に定められたことになります。
個人情報取扱事業者の適用制限が撤廃され、すべての企業が対象に
かつて、個人情報保護法の適用対象は「5,000人以上の個人情報を保有する事業者」に限られていました。
しかし、2022年の法改正によりこの規定は撤廃され、保有件数にかかわらず、すべての事業者が個人情報保護法の適用対象となりました。これにより中小企業を含め、事実上すべての企業が同法の義務を負うことになります。
この改正はマイナンバーの取り扱いにも影響し、マイナンバーに関しても個人情報保護法のルールが適用されることが明確になりました。
その結果、マイナンバー運用においても、より厳格な管理体制と運用ルールが求められることになります。
適切な「流用性」の確保と記録作成義務の強化
個人情報保護法の改正では、「流用性の確保」が求められていますが、ここでのポイントは適切な流用性の確保です。
特に問題になりやすいのが、第三者への個人情報提供に関わる場面です。
このような場面では、「記録作成義務」が新たに法的に明文化されました。
記録が必要となるのは以下の2つのケースです:
- 第三者から個人情報を受け取るとき
- 第三者へ個人情報を提供するとき
この際に記録すべき主な情報は、提供・受領の年月日、相手先、担当者名、提供内容などです。
ただし注意すべき点として、マイナンバーに関するガイドラインと、個人情報保護法の記録義務は混同してはならないということがあります。
マイナンバーガイドラインにおいては、「登録・削除・変更・利用」の4つの操作に関するログ管理が求められています。一方、個人情報保護法に基づく記録義務は、第三者提供時のやり取りに関する記録です。
つまり、マイナンバーの運用における内部処理ログと、個人情報の第三者授受に関する記録は、根拠となるルールも目的も異なるという点をしっかり理解しておく必要があります。
オプティマ・ソリューションズでは、プライバシーマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社 自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
