マイナンバーには「索引情報」「キー」としての価値があり、一度ひも付いた情報は断絶しにくい危険性がある。前回は「必要な範囲でしか取り扱わない」ことを述べた。第3回では、マイナンバーをどのように管理していけばよいかを解説する。

「安全管理措置」って何?

 マイナンバー法は、業務でマイナンバーを取り扱う者などに対して「安全管理措置」を義務付けている。マイナンバー法は、マイナンバーが漏洩したり利用できなくなったりといった問題が起こらないように「マイナンバーを適切に管理せよ」と要求する。しかしマイナンバー法は、特にどんな方法で管理すればよいのか指定していない。

 「適切に管理せよ」と言われても、何をすればよいか分からないという声もある。そこで、ガイドラインが登場した。正式名称は「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(別添)特定個人情報に関する安全管理措置」(PDF)である。マイナンバーの不正を取り締まる第三者機関である特定個人情報保護委員会が、「適切な管理」の考え方を公表したものだ。

 「安全管理措置」「ガイドライン」と聞くと、何やら難しく感じられるかもしれない。ポイントは簡単だ。マイナンバー特有の対応として求められるのは、会社としてどのように扱うかを決めることだ。具体的には以下の項目が考えられる。

  • 誰が(わが社でマイナンバーを扱ってよい人は誰か)
  • 何のために(わが社でマイナンバーを扱ってよい事務は何か)
  • どんな情報を(わが社でマイナンバーとともに扱って良い情報は何か)
  • どのように(わが社ではマイナンバーをどのように管理するか)

 マイナンバーは「必要な範囲でしか取り扱わない」「きちんと管理する」ことが求められる。これを社員個人のモラルに委ねていては、会社としてすべきことをしていないことになる。会社の業務でマイナンバーを取り扱うのだから、会社として「マイナンバーの取り扱い方をしっかり決定して守っていきましょう」というわけだ。