「情報をどう保管するか」の視点が抜けている
マイナンバー制度のスタートまで半年を切った。開始後、企業では社員への給与の支給や健康保険、厚生年金など、税や社会保障に関して行政機関に提出する書類には、すべて社員本人およびその扶養家族のマイナンバーの記載が必要となる。これは業界・業種の区別なく適用されることだけに、ビジネスへのインパクトも非常に大きい。そうした中、遅れが叫ばれてきた企業側の対策も、現在は徐々に加速。対象業務の洗い出しから組織体制の整備、番号収集方法の検討など、急ピッチで準備を進める企業が増えている。
しかし、実は多くの企業の取り組みで、抜けがちな視点がある。それが「機密情報をどう長期保管するか」というものだ。
これが抜けては、対策は万全とはいえない。なぜなら、すでに社内で保有する社員・顧客の情報と、マイナンバーを関連付けて保管する場合、それらは個人が判別できる「特定個人情報」となる。ひとたびマイナンバー制度が始まれば、こうした高い機密性を持つ情報を、企業は長い期間、安全に保持し続けていかなければならないからだ。
情報の紛失・漏えい事故が起こったり、管理体制の危うさが明るみに出るようなことがあれば、その企業は、市場から“一発退場”させられてしまう可能性もあるのがマイナンバー。そこで重要になるのが、データを冗長化し、万一の自然災害や機器の破損、人的ミスといった様々なリスクから守る「バックアップ」の仕組みを用意することだ。
具体的に、特定個人情報の保持においては、事業者に次の3つの対応が求められる※1。
①「マイナンバー及び特定個人情報の滅失又は毀損の防止」
データが誤って削除されたり、破損されてしまうことを未然に防がなければならない。
②「マイナンバー及び特定個人情報の漏えいの防止」
マイナンバーを含む情報が外部に漏れることを未然に防がなければならない。
③「保存期間を経過した特定個人情報の廃棄又は削除」
個人情報が記載された書類などの中には、法令によって一定期間の保存義務が課せられているものがある。その期間を過ぎた場合は、書類や情報を適正に廃棄・削除しなければならない。
それでは、これらの点を満たし、マイナンバーを不安なく運用できるバックアップの仕組みとは、どんなものだろうか。
※1 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」特定個人情報保護委員会、2014年12月発行 を参照