マイナンバー制度が始まったことによって、プライバシーマークへはどんな影響を及ぼすのか、以下大きく5つの事項があります。
- マイナンバーに関連する法令等の特定
- 特定個人情報事務取扱責任者と特定個人情報事務取扱担当者の任命
- マイナンバーが漏えいしてしまった場合の対応手順を規定
- マイナンバーを取扱う区域とマイナンバーを管理する区域を規定
- マイナンバーの取扱いを委託する場合の措置
今回は上記1と2について、記事を執筆します。
マイナンバーに関連する法令等の特定
さて、2016年よりマイナンバー制度が始まりましたが、マイナンバー制度を運営していくために、いくつかの法令やガイドラインが定められています。
そのうち、プライバシーマークを取得するためには、以下2つのマイナンバー関連の法令等を特定することが要求されています。
- 行政手続における特定の個人を識別するための番号の利用等に関する法律
- 特定個人情報の適正な取扱いに関するガイドライン(事業者編)
(1)は通称「番号法」と言われています。「番号法」には、事業者が従業者等のマイナンバーを取扱うために取り組む事項がざっくりと規定されています。
マイナンバーの管理方法や利用方法を具体的に規定しているわけではないので、事業者がマイナンバーを管理する上での指標であると捉えられます。
(2)は、マイナンバーを適切に取扱うための具体的な手法が記載されています。
マイナンバーの盗難防止策、マイナンバーを取扱う人を最小限にする、マイナンバーを取扱うエリアを決める…等の具体的な手法が例示されているので、まだ事業者としてマイナンバーの管理方法を決めていない場合は、このガイドラインを参考に、マイナンバーを適切に管理していきましょう。
特定個人情報事務取扱責任者と特定個人情報事務取扱担当者の任命
続いて、「特定個人情報事務取扱責任者」と「特定個人情報事務取扱担当者」についてです。それぞれの役割は、以下の通りとなります。
- 特定個人情報事務取扱責任者
- マイナンバーを管理する責任者。特定個人情報事務取扱担当者への教育を実施。
- 特定個人情報事務取扱担当者
- マイナンバーを取扱う業務を行う人。
※特定個人情報…既存の個人情報(氏名・住所等)にマイナンバーが加わったもの。例えば、元々従業者からは氏名や住所等を取得していますが、それにマイナンバーが加われば特定個人情報となります。
プライバシーマークでは、「個人情報を取扱う業務において、作業責任者と作業担当者を明確にすべし!」という要求事項があります。
これは、マイナンバー制度が始まる以前から要求されている事項です。
要求されている理由は、「誰でも個人情報を閲覧・利用可能な状態にしていては、誰でも簡単に情報の持出し及び不正利用ができる可能性がある」からです。
マイナンバーに関しては、「特定個人情報事務取扱責任者」と「特定個人情報事務取扱担当者」を任命することで、「マイナンバーを閲覧・利用可能な人を必要最低限にしましょう」という要求があります。
また、事業者は「特定個人情報事務取扱担当者」へ、「マイナンバーを適切に取扱うための教育を実施しましょう」という要求もなされているので、「特定個人情報事務取扱責任者」の役割に教育も含めています。
各役割について、マイナンバーを管理する部署(人事・総務部等)の責任者の方を「特定個人情報事務取扱責任者」として任命し、その部署においてマイナンバーを取扱う業務を担当している方を「特定個人情報事務取扱担当者」として任命するのが一般的です。
今回は、マイナンバーの関連について2つお伝えしました。
次回は、マイナンバーが漏えいしてしまった場合の対応手順についてお伝えします。
