マイナンバー制度が始まったことによって、プライバシーマークへはどんな影響を及ぼすのか、以下大きく5つの事項がありました。
- マイナンバーに関連する法令等の特定
- 特定個人情報事務取扱責任者と特定個人情報事務取扱担当者の任命
- マイナンバーが漏えいしてしまった場合の対応手順を規定
- マイナンバーを取扱う区域とマイナンバーを管理する区域を規定
- マイナンバーの取扱いを委託する場合の措置
今回は上記4について説明していきます。
マイナンバーを取り扱う区域とマイナンバーを管理する区域
マイナンバーは、税、社会保障、災害対策の分野で使用するため、従業者は必ず会社に伝えなければいけません。そんな従業員から取得したマイナンバーを、企業はどのように管理する必要があるのでしょうか。
従業者のマイナンバーが保管されているフォルダを誰でも閲覧できるような状態になっていたらどうでしょう?
もちろん、そんなことは絶対にあってはなりません。
誰でも簡単に人のマイナンバーを閲覧することが出来るなんてことは言語道断です。そのため、マイナンバーを取り扱う区域と管理する区域をルール化しましょうということが要求されるのです。
では、マイナンバーを取り扱う区域と管理する区域はどのように規定すれば良いのでしょうか。
マイナンバーを取得する方法
マイナンバーを取り扱う区域と管理する区域を説明する前に、どのように取得しているかを考えます。
取得する方法は、一般的に2パターンあります。
まずは、紙媒体での取得。所定のマイナンバー取得用紙を作って従業者に配布して収集したり、マイナンバー通知カード・個人番号カードをコピーして会社に提出する方法などがあります。
2つ目のパターンは、電子媒体での取得。マイナンバー通知カード・個人番号カードを写真に撮って取得したり、勤怠管理のシステムにマイナンバーを入力する方法などがあります。
これを基に、取り扱う区域と管理する区域を説明していきます。
マイナンバーを取り扱う区域
上述したように、マイナンバーは誰でも見られる状態にしてはいけません。誰でも見られる状態ではなく「特定の人のみ見られる状態」にしておけばOKということになります。
では、会社でマイナンバーを扱う人は誰でしょうか。おそらく給与関連業務を行う総務部や社長だと思います。
ということは、マイナンバー取扱区域は、総務部や社長のデスク周りに限定すれば問題ありません。
さらに言うと、特定個人情報事務取扱責任者と特定個人情報事務取扱担当者のデスク周りでマイナンバーを扱うように規定すれば問題ないということとなります。
物理的に部屋を分けて、一方の部屋をマイナンバー取扱区域として、その部屋のみでマイナンバーを扱うようにするというルールでも良いかもしれませんが、経営資源的に実現可能かどうかを鑑みて、マイナンバー取扱区域を定めれば良いでしょう。
紙媒体でも電子媒体でも、取り扱う人は最小限にしておけば問題ありません。
マイナンバーを管理する区域
では続いて、マイナンバーを管理する区域についてです。
マイナンバー管理区域は、紙媒体か電子データかで定め方が変わってきます。
まずは紙媒体ですが、紙媒体で管理する方法で、ぱっと思い浮かぶのは、鍵付きのキャビネットに保管する方法です。
これは最も一般的で簡単な管理方法です。そのキャビネットの鍵は、社長や総務部責任者が管理し、必要な時に開錠して使用するというルールにすれば、管理方法として問題はありません。
続いて電子データの場合です。
電子データを保管するにはサーバやクラウドを利用するかと思いますが、要は保管している場所にアクセスできる人を最小限に制限しておけば良いということとなります。
ルール化するならば、アクセスできる人を最小限にするということで良いでしょう。
あまり過剰にならず、しかし最小限のルールは整えておく必要があります。
