企業がマイナンバー対応を進めるには、制度への正確な理解が欠かせない。政府はマイナンバー制度の施行に合わせて、周知のための広報を集中的に行うとしている。とはいえ企業向けの情報はマイナンバーに対応するための準備方法に偏りがちだ。そこで企業編では、企業内で出てきそうな誤解への対処を紹介する。

5. 企業は情報セキュリティ強化ばかり迫られてメリットがない?

 企業は2016年1月以降、従業員らの税や社会保障の手続きで日常的にマイナンバーを扱う。マイナンバー制度に対応するには、社内システムでの情報セキュリティの確保や、プライバシー保護のための社内規程が必要になる。とはいえ、必ずしも高額なコスト負担が避けられないというものではないだろう。

 どの企業も、従業員の納税額や扶養家族の構成といった情報を管理しているはずだ。内閣官房のマイナンバー担当者は、従来からこうしたデータを厳重に管理してきた企業にとっては、マイナンバーの安全管理に求められる対応は大きく変わるものではないと説明している。

 ただ、マイナンバーが氏名などの個人情報と異なるのは、個人情報の名寄せに悪用されやすい点だ。マイナンバーを索引として個人情報が違法に名寄せされてしまうと、重大なプライバシー侵害につながりかねない。

 そのため、企業ではマイナンバーの管理に不必要な情報が結び付かないようにシステムなどでの工夫が求められる。その手法を例示したのが、特定個人情報保護委員会が公表したガイドラインだ。

 安全管理措置によってマイナンバーの利用から提供、保管、廃棄までのプロセスで不正利用やプライバシー侵害を防ぐ方法を例示している。ガイドラインの内容があいまいだとする声もあるが、実際は例示を参考に企業がそれぞれの実情に応じて自ら考えなければならないものだ。

 企業のシステム対応で重要なのは、マイナンバーにひも付けられた個人情報は全て、安全管理措置の対象である「特定個人情報」として扱わなければならない点だ。画面上にマイナンバーが表示していなくても、内部で検索キーとしてマイナンバーを利用したり、ひも付けてアクセスできたりする場合は特定個人情報となる(図1)。

図1●特定個人情報保護評価指針(内閣官房案)より抜粋
図1●特定個人情報保護評価指針(内閣官房案)より抜粋
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。