マイナンバー対応のための安全管理システムの実装フロー
六本木ヒルズで「マイナンバー対策セミナー 〜データ管理に対するITリスク増大、部門横断的に乗り切るには〜」が開催されました。
第3部は、TMI総合法律事務所 パートナー弁護士 大井 哲也氏が「マイナンバー対応のための安全管理システムの実装フロー」というテーマで講演されました。
つい先日、マイナンバー法が衆議院で可決されました。今年の10月1日からマイナンバーが国民に対して、通知されます。では、10月1日までにどういう仕事が発生するのか、どの部門で、どういうタイミングで何をすればいいのか、これが重要です。
個人が取得した個人番号を法定調書に記載して、行政機関等に提出するという行為のみが認められています。
まずは、個人情報保護法に基づく、安全管理措置を行っている筈なので、それと特定個人情報保護法に準じた安全管理措置とのギャップを埋めていくという作業を行います。これによって、マイナンバー法に基づく、会社の管理規定が出来上がります。この作業をやっていない会社は、まずは、そこから着手してください。今年の10月から個人番号の付番が、全国民に対して開始されます。本人確認のための書類で何を提出するのかなどといったものが10月1日には、完了して、システム上に乗っていないといけない。しかし、多くの会社では、これが行われていないというのが実情です。金融機関などは、対応が早く、システムの改修が済んでいるところもあります。まだのところは、誰が、どの分野を担当するのかという割り当てを行っている会社もあります。あまり、悠長に進めている場合ではないので、すぐに、実質的なフロー図の作成作業を開始してくださいという話をします。急にはできないというと、関係部署に対して、まずは、教育を行ってくださいという話になります。まずは、保護措置が何かということを理解してください。やるべきことは非常にシンプルです。次は、各部署のタスクの洗い出しをしてください。結局、マイナンバーをどこの書類に書けばいいのですか、それを網羅的に、抜けがないようにするにはどうすればいいのか。タスクの洗い出しを行うと、どれくらいの作業量があるのかが判明します。総務、経理、人事、情シスを集めた全体会議を開催する。安全、管理措置はどのレベルまでやればいいのかを決めていきます。体制整備ができたら、特定個人情報の組織的、技術的安全管理の方法の検討を始めます。例えば、どういう方法で暗号化するのか。操作ログはどこまで取ればいいのか。管理方法の選択をしていく必要がある。これらを決めたら、システムの実装作業に入りますが、これを行うためには情シスの協力が不可欠です。代替措置があるのか。情報システム部門で、この作業を行うと業務が止まってしまうので、無理だと言った場合に、これを検討します。
マイナンバー法に準拠した安全管理措置として、規定の整備作業を行います。どこの部門がマイナンバーを取得して、誰が、作業を行うのか。誰が見ても、その行動が分かるようなフローチャートを作る方が実務に役立ちます。レベルとしては、金融機関相当の質を目指してください。クレジットカード情報などを扱う場合と同じレベルの管理が必要となります。特定個人情報保護委員会というのが監督することになります。これは、公正取引委員会と同じ程度に権限を持った機関となります。これまでのように何か、個人情報漏洩があったら、監督官庁に報告すればいいですよねという状況ではなくて、何かあれば、立ち入り調査をする権限を監督機関が持つので、我々としても、より、きちんちとした管理体制の構築が必要となります。どういった事務が要求されているのか。法律に基づいた事務となるが、ぞれぞれの人事、労務部門の人が法定調書の洗い出しをまず、関係部門の人が行う。それ以外の部門にも法定調書の作成が必要となるので、その洗い出しも必要となります。例えば、一見するとマイナンバーに関係しなさそうな法務部門に対して、私が社内研修会の講師をすることになり、契約を交わすことになると、私のマイナンバーを取得する必要があります。それを聞く部門はどこでしょうか?おそらく、面識がない経理部門ではなくて、法務部門が外部委託して講師のマイナンバーを受領する必要があります。それでは、その受領したマイナンバーをどこに持っていけばいいですか。どう処理すればいいですかという話になります。社内の全体会議で話すだけではなくて、他部門の人にもこういう問題提起をして、漏れがないかの洗い出しを行います。チェックリストを作る際には、マイナンバー関連のウェブページに詳しい情報が記載されているので、それを参考に作業を進めてください。源泉徴収票のどこに記載するのかなどを具体的に定めていきます。まずは、支払い調書の雛形を集めてください。これは、監督官庁のサイトに雛形があるものとないものがあります。提出書類、提出者、提出先、根拠条文の洗い出しの作業を行います。
マイナンバーに関するガイドラインを手元に置いておいて、基本方針をまずは、策定する。個人情報保護方針の策定は、雛形を入手して、さっさと済ませてください。
これが規定の最上位のレイヤーとなります。
続いて、管理規定は、個人情報保護管理規定から漏れたものだけを記載してください。
マイナンバー法では本人確認というフローが入ってきます。従業員の源泉徴収票の作成をする場合に、取りまとめる方法はどうするのか。データを機関システムに入れておいていいのか。誰もがアクセスできるシステムに入れてしまえば、安全管理措置としては、非常に不適切です。実際の業務は、システムの中で行われるので、他社や他部門の担当者からアクセスできない方法で管理をする必要があります。入手から、法定保存期間が過ぎたあとの廃棄までのライフサイクルの全てのフローを作る必要があります。
マイナンバーを扱う担当者の人的安全管理措置も必要です。
組織的な安全管理措置も必要となります。
漏洩が起こった場合の、報告、連絡体制を定める必要がありますが、実際には、これは、ほとんど機能しないことが多くなります。なぜならほとんどの人は、こういう経験がないので、担当者がうまく対応することができません。こういう場合は、バイネームで経験のある人、処理ができる人の名前を記載しおくことが有効です。
ファイルは誰がアクセスして、誰がコピーしたのか、その記録をしっかりと取る必要があります。全て、監視されていますよ。誰がどういう挙動をしたのかを監視していると従業員に告知することが漏洩の抑止になります。マイナンバーの記載、データの保存は必要最低限に留め、必要がなくなった書類、データは、速やかに廃棄する。単発の契約を交わした場合は、との都度、マイナンバーを消去して、再度、取得をする方がいいでしょう。情報システム部門の誰が管理するのかは、バイネームで記載して、夜中でも何でも連絡が取れる方法を記載しておく。
物理的安全管理措置というのも法律に書いてあるから、言及しているが、実質的にはあまり、意味がない。
それよりは、電子媒体の盗難などの防止措置の方が重要となります。データベース全体がコピーされた場合はアラートが上がるなどの措置が有効となります。
今までの個人情報保護管理規定には、削除が記載されていなかったと思いますが、今回は、削除、廃棄についても記載する必要があります。
実務的な現場の話を中心に今回はお話しさせていただきました。