マイナンバー制度の対策に有効なプライバシーマークとISO27001(ISMS)
2016年1月からマイナンバー制度(社会保障・税番号制度)の運用が開始。
マイナンバー制度は「社会保障」「税」「災害対策」の分野をマイナンバー(個人番号)の利用範囲としており、目的外利用はマイナンバー法で禁止されています(今後、利用範囲は広がる見込み)。
マイナンバーは2015年10月から住民票を有する全ての方に、市町村から「通知カード」で郵送されています。マイナンバーは漏洩し、不正に使われるおそれがある場合を除き、一生変更されません。
事業者は個人番号関係事務実施者として従業者やその扶養家族のマイナンバーを取得し、給与所得の源泉徴収票や社会保険の被保険者資格取得届などに記載して、行政機関などに提出する必要があります。また、マイナンバーが含まれる個人情報の取扱いについてはマイナンバー法に定められた規制を遵守する必要があります。事業者はマイナンバーを含む個人情報の漏洩防止のため、法令を遵守しつつ、適切かつ必要な安全管理措置を実施しなくてはなりません。
マイナンバーは、「社会保障」「税」「災害対策」の分野において、個人情報を複数の機関の間で紐付けるものであり、住民票を有する全ての者に一人一番号で重複のないように、住民票コードを変換して得られる番号です。
したがって、マイナンバーが悪用され、又は漏洩した場合、個人情報の不正な追跡・突合が行われ、個人の権利利益の侵害を招きかねません(※)。
そのため、事業者は「特定個人情報(個人番号をその内容に含む個人情報)」の適切な管理のために、特定個人情報を保護するための安全管理措置を講じる義務があります。
マイナンバー法の罰則は個人情報保護法よりも厳しくなっています。
※「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より
内閣官房:社会保障・税番号制度HP(2015年2月時点)より編集
事業者に求められる義務 ~安全管理措置~
事業者は「特定個人情報(個人番号をその内容に含む個人情報)」の適切な管理のため、その一つとして特定個人情報を保護するための「安全管理措置」を講じることが義務付けられています。
具体的には、取扱う責任者の明確化、「特定個人情報」の特定、業務フローの確認、リスクの認識・分析、リスク対策の検討・決定、手順書・規程類の策定または改版、従業者への教育等々を実施する必要があると考えられます。また、マイナンバーに関する事務の業務フローを確認する中で、マイナンバー法の規制を遵守する必要があり、既存の業務フローについても見直しが必要です。
事業者様は自社の特定個人情報を保護するために万全の安全管理措置を講じる必要があります。ただし、個人情報保護管理者様や個人情報保護の御担当者様にとって安全管理措置を含めた個人情報保護マネジメントシステムの見直しは、取り組み方によって大きな業務負担になってしまう可能性があります。
上記の「ガイドライン(事業者編)」の安全管理措置は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下、「MEIT/経済産業省ガイドライン」という)と類似した内容になっています。プライバシーマーク制度やISO27001(ISMS)も「MEIT/経済産業省ガイドライン」の安全管理措置を踏まえた要求事項になっているため、プライバシーマークやISO27001(ISMS)の取得は「ガイドライン(事業者編)」の安全管理措置に対応する一つのツールとして有効だと考えられます。
このため、弊社ではマイナンバー制度の対策として、有効であるプライバシーマークやISO27001(ISMS)を通して、安全管理措置を講ずるご支援をさせて頂きます。
一方で、プライバシーマークやISO27001(ISMS)を取得されている事業者様は、既存の個人情報保護については安全管理措置が講じられていますが、今後はマイナンバーを含む特定個人情報を取扱うことになるため、現在の規程などを見直す必要があります。
弊社では、プライバシーマークやISO27001(ISMS)の取得済み事業者様向けにも、マイナンバー制度に対応した規程の見直しなどもご支援させていただきます。
マイナンバー制度の対策のためのコンサルティングメニュー
弊社では、マイナンバー制度への対策として、プライバシーマークやISO27001の新規取得のほか、以下のコンサルティングメニューをご用意しております。
<詳しくはこちら>
コンサルティング部、システムデザイン部、
DXシステム支援部、システム運用部にて取得