この点、「マイナンバー取扱規程」を、従業員から見て分かりやすいものとすることがポイントとなる。特定個人情報の適正な取扱いに関するガイドラインでは、マイナンバーに関する取扱規程の作成を、原則として求めている。「マイナンバー取扱規程」は、社内のルールを分かりやすくまとめたもので、従業員用のマイナンバーマニュアルである。
「マイナンバー取扱規程」は、形だけ整えればよいというものではない。せっかく時間をかけて作成するのに、法律をそのまま複写していたり、契約書のような読みにくいものを作成していたりする会社も散見されるが、従業員から見て、何がOKで何がNGなのかが分かるよう、見やすくチェックしやすい取扱規程を作成していくことが望まれる。具体的には連載第3回の表1、今回(第4回)の表2のようなものがよいだろう。
4.どのような技術的安全管理措置を講じるか
マイナンバーの漏えいや紛失を防止するためには、技術的対策も重要だ。技術的安全管理措置として求められるのは、(1)不正アクセスの防止、(2)情報漏えい等の防止、(3)アクセス制御の3点である。もっとも、(1)不正アクセスの防止、(2)情報漏えい等の防止は、マイナンバー特有の問題ではない。(1)は、ファイアウォール等の設置、セキュリティ対策ソフトウエア等の導入など、(2)は暗号化やパスワードによる保護などであり、これらはマイナンバーに限らず、すでに行われている対策であろう。
(3)アクセス制御もすでに行われている対策であるが、マイナンバー特有の危険を防止するためにも重要だ。誰もがいつでも簡単に、あらゆる範囲のマイナンバー情報にアクセスすることができないようにしていこう。従業員が、自分の任務に必要なマイナンバー情報だけにアクセスできるよう、ユーザーIDとパスワード、ICカードなどでユーザー認証を行い、アクセスできる範囲を限定することが重要である。
5.マイナンバーをいつどのように廃棄するか
マイナンバーは、適切な廃棄も大変重要なポイントとなる。これまでは、一度保有した個人情報は、利用の必要がなくなっても継続的に保管するなど、個人情報の速やかな廃棄はあまり行われてこなかったかもしれない。これに対し、マイナンバーは必要がなくなったら、速やかに廃棄する必要がある。
もっとも社員については、雇用している限り給与を支払うことが想定されるので、難波舞さんのマイナンバーは、難波舞さんが退職するまで、会社で保管することができる。また難波舞さんが退職したときも、退職時にすぐに廃棄しなければならないわけではない。例えば税務手続きの場合、給与所得者の扶養控除等申告書等を保存する義務が定められているので、法令で定められた保存期間(7年)を経過したら、できるだけ速やかに廃棄する。
そのためには、保管しているマイナンバーごとに、廃棄時期を管理しておく必要がある。社員のマイナンバーであれば、「在職者」と「退職者」に分けた上で、退職者については、いつ廃棄するのか、Excelやラベルなどで管理するとよいだろう。ITシステム内のデータも、一定期間を経過した情報についてはマイナンバーを削除できるようなシステム設計とする。
廃棄方法は、マイナンバーを安全・確実に廃棄できる方法を選択する。書類であれば、個人情報を読み取れないようなレベルの裁断(シュレッダーの利用)、機器や電子媒体であれば、専用のデータ削除ソフトウエアを利用したり、物理的に破壊したりするなどの方法が考えられる。
本ページの下から3番目の段落の下から2行目、「提出した法定調書」を「給与所得者の扶養控除等申告書等」に修正しました。[2016/01/12 15:30]
