こうした一連の手順を整理していく上で、必要になるのが「基本方針」と「取扱規程」の策定です。この基本方針と取扱規程については混同されている方もいますので確認しておくと、基本方針では①事業者の名称、②関係法令・ガイドライン等の遵守、③安全管理措置に関する事項、④質問および苦情窓口などを定めます。取扱規程は、責任者・事務取扱担当者などの組織体制とその監督体制、管理区域やアクセス制御などの情報漏洩対策の内容を織り込みます。これは①取得する段階、②利用を行う段階、③保存する段階、④提供を行う段階、⑤削除・廃棄を行う段階という、それぞれの段階で取り扱い方法を定めます。図3
図3「基本方針」と「取扱規程」で定める内容
早くから準備を進められている企業・団体であれば、これらはすでに作成を進められていたり、完成しているかもしれません。
取扱規程について、『取扱いガイドライン』には「事務フローに即して、手続きを明確にしておくことが重要」とあります。事務手続きのフローはマイナンバーの事務取扱担当者だけが関係する内容になりますし、マイナンバーの利用範囲が拡大されたときや自組織の状況などに合わせて、適宜修正する必要もあると考えられるので、別途、具体的な「手順書(業務マニュアル)」を作るのが現実的だと思います。いずれにしても、実際の業務フローにそって手順が決まっているかという点をチェックする必要があります。
ここで注意していただきたいのは「削除・廃棄」について考慮されていないケースがよく見受けられることです。源泉徴収票などの法定調書については法律で保存期間が定められていますが、定められた保存期間が経過した後は廃棄または削除する必要があります。
廃棄や削除漏れを発生させないためにも、マイナンバーが記載される書類は限定しておき、その保管場所(データの保存場所)も限定しておくことが大切です。例えば、労働基準法で義務付けられている「労働者名簿」には、マイナンバーを記載する必要はありません。もし、マイナンバーを記載したのであれば、特定個人情報としてきちんと管理した上で、定められた保存期間が過ぎた後は、確実に廃棄または削除する手順が必要になります。
近年、企業や各種団体の個人情報漏洩が目立っていますが、規程や手順を定めたり、ログなどによって記録を残したりすることは、マイナンバーに限らず内部犯罪や内部不正による情報漏洩全般を未然に防ぐためにも有効な手だての一つだと言われています。IPA(独立行政法人 情報処理推進機構)の「組織内部者の不正行為によるインシデント調査 調査報告書(2012年7月)」によると、「内部不正行為防止に効果が期待できる対策」というアンケート設問への回答では「社内システムの操作の証拠が残る」(54.2%)、「顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等を含む)」(37.5%)、「これまでに同僚が行ったルール違反が発覚し、処罰されたことがある」(36.2%)、「社内システムにログインするためのIDやパスワードの管理を徹底する」(31.6%)、「顧客情報など重要な情報を持ち出した場合の罰則規定を強化する」(31.4%)といった項目が上位に挙げられています。
『取扱いガイドライン』ではマイナンバーの安全管理措置について、事務責任者や事務取扱担当者などを明確にし、万が一漏洩などの兆候があった場合の対処方法などを整備する「組織的安全管理措置」と、それらが適切に運用されるように監督や教育を行う「人的安全管理措置」、管理区域を限定したり機器や電子媒体の盗難などを防止する「物理的安全管理措置」に加えて、マイナンバーが含まれる情報へのアクセスを制御したり、外部からの不正アクセスを防ぐといった「技術的安全管理措置」についても示されています。
中小規模の事業者の場合、ファイアウォールやマルウェア対策などの基本的な対策ができていない場合も少なくありません。また、アクセス制御や操作ログを残すといった対策も不十分な場合が多いように感じます。こうした対策はマイナンバーに限らず重要な情報を守るという意味でも欠かせない対策だと思いますので、マイナンバー制度の開始を一つの機会ととらえて、まずはこれらの基本的な部分から整備することをお勧めします。その後、組織内を点検していきながら順次整えていくことを検討されてはいかがでしょうか。