特定個人情報保護委員会事務局で調査官を務める大塚 徹郎氏が、2015年6月16日に開催された「第二回 民間企業のための『マイナンバー』カンファレンス」(主催:日経コンピュータ、ITpro)で、マイナンバー法における特定個人情報の安全管理措置に関する講演を行った。同委員会が14年12月に公表した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の安全管理措置についてポイントを解説した。
(構成:吉川和宏=ライター)
特定個人情報保護委員会事務局 調査官 大塚 徹郎氏
2014年12月に、特定個人情報保護委員会がガイドラインを公表しました。ガイドラインは、マイナンバーを取り扱う事業者が特定個人情報の適正な取り扱いを確保するための具体的な指針を定めたものです。ここで、「特定個人情報」とは、マイナンバーとひも付いた個人情報のことです。
公表したガイドラインには、行政機関や地方公共団体に向けた「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」と、民間企業向けの「同(事業者編)」の2つがあります。事業者編には、マイナンバーの取り扱いがほかの業種とは異なる金融機関向けに別冊「金融事務における特定個人情報の適正な取扱いに関するガイドライン」も用意しました。今回は、事業者編のうち、特定個人情報に対する安全管理措置について説明します。
ガイドラインの中で、「しなければならない」および「してはならない」と記述してある事項については、これらに従わなかった場合、法令違反と判断される可能性があります。一方、「望ましい」と記述してある事項については、これに従わなかったことをもって直ちに法令違反と判断されることはありませんが、番号法(マイナンバー法)の趣旨を踏まえて事業者の特性や規模に応じて可能な限り対応することが望まれるものです。
