必須!マイナンバー制度のセキュリティ管理#1の続きです。

マイナンバーと情報セキュリティポリシー

マイナンバーに関するセキュリティ対策については、情報セキュリティポリシーに定めておかなければなりません。また、マイナンバーの取り扱いについては、人事マニュアルなどで具体的な取り扱いを定めることも必要になります。
なお、マイナンバーの取り扱いを厳格にしなければならないことから、自社で対応しないで、外部に委託している企業なども少なくありません。こうした場合には、外部委託先と適切な契約を締結しておくこと、定期的に取扱状況を点検評価することが必要になります。

マイナンバーとPIA

マイナンバーについては、行政機関等を対象として、特定個人情報保護評価、いわゆるPIA(プライバシー景影響評価)を実施し、マイナンバーに関係するリスクの大きさに応じた対策を講じることが求められています。
番号法(番号法第26条、第27条)では、情報提供ネットワークシステムを使用して情報連携を行なう事業者が、特定個人情報の漏えいその他の事態を発生させるリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずる制度として特定個人情報保護評価について規定しています。行政機関等以外の者で、情報提供ネットワークシステムを使用して情報連携を行なう事業者としては、健康保険組合などが挙げられます。なお、特定個人情報保護評価の実施が義務づけられていない事業者でも、任意に特定個人情報保護評価の手法を活用することは、特定個人情報の保情報提供ネットワークシステム護の観点から有益だとされています。

マイナンバーの管理ポイント

情報セキュリティ担当者は、マイナンバーに関する管理ポイントを十分に理解しておかなければなりません。マイナンバーの管理ポイントとしては、例えば、次の記事のように整理することができます。

マイナンバーに関係するヒヤリハット事例

マイナンバーを所管する個人情報保護委員会では、マイナンバーに関係する『ヒヤリハット事例』を公表しています。例えば、リサイクルショップで本人確認書類の提示を求められたときに、運転免許証をもっていなかったので、店員からマイナンバー(個人番号)の提示を求められたという事例があります。これは、番号法で定められたこと以外にマイナンバーを利用しようとした法令違反です。

また、「勤務先からマイナンバー(個人番号)の提供を求められ、安全管理措置について勤務先に問い合わせたところ、委託業者に任せているので委託先に問い合わせるよう言われ、委託業者に問い合わせたが、答えられないと言われた」というように、必要かつ適切な監督を委託先に対して行なっていなかった事例もあります。マイナンバーを取り扱う際、上記個人情報保護委員会の「ヒャリハット事例』を一読することをお薦めします。