マイナンバーの保管方法や要点を解説！守るべき4つの安全管理措置とは？

2024/03/29

このコラムでは、マイナンバーを保管する業務における注意点や、関連する法やガイドラインについて解説します。情報漏洩や紛失リスクのために定められている義務や運用を企業が遵守するには、コストも手間もかかります。セキュリティを担保しつつ業務効率を上げる方法もご紹介しておりますので、ぜひ最後までお読みください。

マイナンバーの保管について押さえておきたいポイント

マイナンバーは個人識別のための重要な仕組みであり、保管についてはマイナンバー法や個人情報保護法などの法律やガイドラインにより義務や保管条件などが定められており、一般的な個人情報よりも特に注意が必要です。個人のプライバシーを守るため、そして自社を情報漏洩や紛失のリスクから守るためにポイントを理解しておきましょう。

マイナンバーを保管する運用例

一般的な保管方法として、従業員100人以下の中小規模事業者(一部事業者を除く)では、紙での保管を行うほうがコスト面・運用面でも現実的です。その場合、鍵がかかるキャビネットに保管したり、操作履歴が残る電子錠キャビネットなどでの運用が推奨されます。電子での保管では、データへのアクセス制限やファイルの暗号化、操作ログの保存などが必須となります。

保管し続けられる条件

マイナンバーを記載した書類やファイルは、その利用目的や種類によって法定保存期間が定められているものもあり、期間もそれぞれ設定されています。人事労務関連の書類は数年間の保管が必要になります。

保管期間

マイナンバーは利用目的が終了したら、速やかに適切な方法で廃棄する必要があります。また、法的に定められた一定の保管期間が存在する場合もあります。そのため、企業はマイナンバーの使用目的と関連する法規制を理解し、必要な保管期間を守る必要があります。

マスキングによる保管期間の延長

技術を適用することで、マイナンバーの安全性を高めながら保管期間を延長することが可能になる場合があります。マスキングでは個人を特定できないように情報の一部を隠しますが、この処理は元のデータを完全に無害化するものではないため、引き続きセキュリティ対策を講じる必要があります。マスキングが適用されたマイナンバーも、不要になれば適切なタイミングで廃棄することが大切です。

マイナンバーの保管で生じる課題や負担

社会保障や税金に関する手続きでマイナンバーの取得が必要になりますが、その保管には大きな負担が発生します。特に、セキュリティの確保と法令遵守のための体制構築は、多くの企業が直面する課題です。

まず、マイナンバー情報を安全に保管するためには、高いセキュリティシステムが必要となります。適切な暗号化技術の導入やアクセス管理システムの構築、定期的なセキュリティチェックの実施などが含まれます。しかし、中小企業にとって、これらのシステムを導入・維持することは、経済的および技術的な大きな負担になります。

さらに、法規制の変更に柔軟に対応することも課題の一つです。マイナンバー関連の法律やガイドラインは更新されることがあり、企業はこれらの変更に迅速に適応する必要があります。対応を行わない場合、法的なリスクや信頼の失墜につながります。

マイナンバーを廃棄・削除する方法

マイナンバー情報の廃棄や削除は、個人情報の適切な管理において重要なプロセスです。法令に基づいた方法で、かつセキュリティを確保しながら実施する必要があります。

電子的に保存されたマイナンバー情報を削除する際は、単にデータベースからのデータを「削除」するだけでは不十分です。削除後にデータが復元できないように完全に無効化するため、二重チェックや上書き保存の確認を実施するなど適切な運用を検討する必要があります。

紙に印刷されたマイナンバー情報を廃棄する際は、単純な裁断ではなく、情報が識別不可能な状態になるまで細かくシュレッダー処理するか、専門の廃棄業者に依頼して安全に処理を行う必要があります。これにより、重要な個人情報が外部に漏洩するリスクを低減できます。

マイナンバー情報の廃棄・削除を適切に行い、情報漏洩のリスクに備えましょう。廃棄・削除手順を明確にし、従業員が遵守する体制を整えることが重要です。

マイナンバーの管理で求められる４つの安全管理措置とは

個人情報保護法第20条に、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定められています。

行政機関・個人情報保護委員会が定めるガイドラインでは、マイナンバーを管理する際に4つの安全管理措置の実施を求めています。それぞれについて、具体的な内容をみていきましょう。

「組織的安全管理措置」とは

組織的安全管理措置とは、マイナンバーの取り扱いを管理するために企業や組織がとるべき組織全体の方針や体制を意味します。これには、マイナンバーの取り扱いに関する内部規程の策定、情報管理責任者の指定が含まれます。だれが、どのような条件下で、マイナンバー情報にアクセスできるのかを明確にし、適切な取り扱いが行われるようにすることが重要です。

「人的安全管理措置」とは

人的安全管理措置とは、従業員に対してマイナンバーの適切な取り扱いについて周知することや、適切な監督と教育を行わなければならないとしているものです。具体例としては、定期的な研修、マイナンバー情報の取り扱いに関する明確な規則やガイドラインの設定、違反者に対する処罰規定の明確化などがあります。

目的は、マイナンバーを含む個人情報の安全な取り扱いを従業員が適切に理解し、実施する環境を整備することにあります。これにより、個人情報の不正利用や漏洩リスクを減少させ、個人のプライバシー保護とマイナンバーシステムの信頼性の維持を目指します。

「物理的安全管理措置」とは

物理的安全管理措置とは、マイナンバー情報が印刷された書類や電子データを保存するデバイスなど、物理的な媒体を不正アクセスや盗難、破損から保護するための措置です。書類の保管には鍵付きキャビネットの使用、電子データを保存した媒体はセキュリティが強化された部屋や金庫内に保管するなどが挙げられます。また、不要となった書類やデータは、情報が復元できないように適切に破棄することもこの措置に含まれます。

「技術的安全管理措置」とは

技術的安全管理措置とは、マイナンバー情報の安全な管理のために、ITシステム面で実施されるセキュリティ対策のことです。これには、アクセス権限の厳格な管理、不正アクセス検知システムの導入、データ暗号化技術の利用などがあります。定期的なセキュリティ監査や、ソフトウェおよびシステムの更新を適時に行うことも、技術的安全管理措置の一部です。これらの措置により、マイナンバー情報をデジタル環境で安全に管理することができます。

適切に保管・廃棄しないとどうなる？

マイナンバーやその他の重要な個人情報の適切な保管・廃棄を怠った場合、重大な問題が発生する可能性があります。その中には、情報の漏洩、不正利用、個人のプライバシー侵害など、個人にとっても企業にとっても深刻な影響をおよぼします。情報が外部に漏れた場合、金融サービスへの不正アクセスや、他人名義での契約などが行われる可能性があります。

企業にとって個人情報の漏洩は信頼の失墜に直結します。顧客や取引先からの信頼を損ねることは、長期的に事業への影響をもたらす可能性があり、取り返しのつかないダメージとなります。

これらのリスクを避けるため、マイナンバーを含む個人情報には安全な保管方法を実施し、廃棄する際は情報が復元されないようにする必要があります。

マイナンバーの管理業務を安全に効率化する方法

マイナンバー制度の下で、企業や組織は従業員や顧客のマイナンバーを適切に管理する法的責任を負います。保管だけに限らず、マイナンバーの収集や取得・廃棄にもセキュリティ対策が必要な業務です。そのため、企業としての責務を果たすために、業務効率化と安全性向上の両立ができる方法を選ぶことが重要です。

マイナンバーの収集や保管業務を外部委託する

マイナンバーを安全に管理するためのリソースや技術が不足している場合、収集や保管業務を外部の専門業者に委託するという選択肢があります。外部委託を行うことで、社内のセキュリティ管理や運用の負荷を減らすことができます。

マイナンバーを取り扱うための施設や運用により、厳格なセキュリティ対策を施すことができるので、自社での運用より情報漏洩のリスクを低減させる効果が期待できます。

業者選定のプロセスでは、セキュリティ基準や保有している認証の確認、導入実績を確認することが必須です。契約内容はデータの取り扱いや個人情報保護に関する条件を明確にし、定期的な監査やレビューについて明記しましょう。ただし、外部委託で責任が免除されるわけではありません。常にコミュニケーションを取り、業者の取り組みを適切に監督し、マイナンバーの適切な管理を確実に行うことが重要です。