| 富士通総研経済研究所主席研究員 |
| 榎並利博 |
マイナンバーを社会保障・税の手続きで使っていく場合、当然のことながら民間企業では社員などの情報を保管しながら利用していくことになる。このような利用・保管・廃棄についても、安全性を確保するための管理が求められている。
特定個人情報の利用について補足すると、個人情報保護法と異なり共同利用については原則として認められない。この形態は「提供」とみなされるため、グループ会社などで他社従業員のマイナンバーが参照できない仕組みで共同利用する場合を除き、認められないことになっている。
保管については、あくまでも社会保障・税の手続きに使うための保管が認められているだけである。もちろん、雇用契約等で継続的な関係がある場合、社会保障・税関係手続きで、翌年度も利用するための継続的な保管は認められる。そして、所管法令により一定期間保存が義務付けられているものについてはその期間は保存しなくてはならない。問題は、保存期間を経過した場合、速やかに廃棄または削除しなくてはならないことだ。システム化している場合には、保存期間経過後に廃棄または削除できるようなシステムであることも要求されている。
そして、マイナンバー法12条では、「個人番号利用事務実施者及び個人番号関係事務実施者は、(…中略…)個人番号の適切な管理のために必要な措置を講じなければならない」とされ、具体的には「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」として公表されている。
その別添として、「特定個人情報の適正な取扱いに関する安全管理措置(事業者編)」が提示されており、個人番号を取り扱う事務の範囲、特定個人情報ファイルの範囲、個人番号を取り扱う事務に従事する従業者の範囲を明確化したうえで、安全管理措置を検討し、実施しなければならないとされている。
具体的な安全管理措置としては、(1)基本方針の策定(2)取扱規程の策定(3)組織的安全管理措置(4)人的安全管理措置(5)物理的安全管理措置(6)技術的安全管理措置――という6項目が提示されている。
マイナンバー関連事務の委託においては委託先に対する管理監督責任が生じるが、具体的には委託先におけるこれらの安全管理措置を確認するとともに、安全管理措置に関して委託契約の締結を行い、委託先における特定個人情報の取り扱い状況の把握についても要求される。
◇◇◇
次回は「法人番号と金融業界の特別な対応」について解説する。