(2)記録を取る
誰が誰のマイナンバー情報を取り扱ったかも、記録していこう。何か問題が発生したときに記録を確認することで、何が起こったのかといった事実や当時の状況を把握することができるし、不正行為の抑止も期待できる。
具体的には、システムログが記録されている場合はそれを利用する。システムログが記録されていなかったり、システムログの記録項目が十分でなかったりする場合は、別途、記録を作成していく。Excelや手書きのノートなどに、いつマイナンバー情報を入手したか、いつ委託先に渡したか、いつ源泉徴収票などを税務署や本人に渡したか、いつ廃棄したかなどを記録していこう。
またチェックリストを作成し、記録と兼ねることも考えられる。例えば本連載などを参考に、マイナンバー法・個人情報保護法の要点をチェックリスト化して、マイナンバーを取り扱う際は都度チェックリストを確認し、記入済みのチェックリストを記録として保存することも考えられる(表2)。表2レベルのチェックリストの作成が難しい場合は、もう少し簡素化したリストでもよいだろう。
(3)点検する
マイナンバーを実際に取り扱い始めたら、マイナンバー法、特定個人情報の適正な取扱いに関するガイドライン、個人情報保護に関するガイドライン、会社で決めたルールにのっとった取り扱いが実際に行われているかについて、定期的に点検していこう。その際、上記(1)で明確化した取り扱い情報のリスト、(2)で記録された取り扱い状況を活用していくことが考えられる。また点検の際には、マイナンバー情報の取り扱い状況を把握するだけではなく、取り扱いに関して見直すべき点や改善点がないかも確認していこう。
(4)従業員を監督・教育する
マイナンバーを実際に取り扱うのは従業員である。とはいっても、マイナンバーの取り扱いを従業員のモラルだけに委ねるのではなく、会社として従業員を教育・監督する必要がある。マイナンバーを取り扱ってよい人、許容する取り扱い方法を、会社として明確化しておくと、従業員から見て何がOKで何がNGなのかが分かりやすい。社内ルールを明確化し、マイナンバーを含む個人情報の取り扱い方を従業員に定期的に研修したり、個人情報の取り扱いを担当者任せにせず、責任者などが定期的にチェックしたりしていくことが重要だ。
