そして、取り扱うからには、規模の大小を問わず、適切な管理のために必要な措置(特定個人情報保護委員会から出ているガイドライン参照)を講じる義務が生じます。
加えて、この「マイナンバーおよびマイナンバーに対応する符号をその内容に含む個人情報」は、マイナンバー法にて「特定個人情報」と定義されています。
この数字の羅列が個人を特定可能な情報と紐付いた場合の価値の「重さ」、そしてそれが万が一流出した場合に想定されるリスクレベルが、今後利用範囲が各分野に広がっていくほど恐ろしく高まっていくことが想定されるため、もし万が一にも何かあった場合、個人情報保護法よりも罰則の種類が多く、法定刑もかなり重く規定されているのです。
企業がマイナンバーを扱う上での主な課題
これまでも、企業が取り扱う個人情報については流出事故、事件の類が後を絶たず、情報漏えい対策もそうした時流に則って実施されてきた企業も多いことでしょう。そのため安易に「ウチは大丈夫」と高をくくっているケースもあるように感じます。
しかしながら、今回のマイナンバーはこれまでの、営業秘密の範疇で扱われてきた個人情報とはいくつか扱われ方が異なる点があります。
以下、今企業が個人マイナンバーを取り扱う上での主な課題を挙げてみます。
- 取り扱われる個人マイナンバーは従業員とその扶養家族のもの(現状では顧客の個人マイナンバーは特定の企業や団体しか扱えない)である。つまりこれまで漏えい対策を施してきた「顧客情報(営業秘密の1つとしての個人情報)」のような、既に対策を何重にも施された秘密情報とは異なる場所にて保管、管理されるケースが少なからず想定され、そうであれば現状では流出を防ぐ対策が不十分である可能性がある
- 社内の個人マイナンバーを管理、使用する権限や職責を負う部署もしくは担当者は主に人事、労務であり、営業秘密を管理、使用する部署や担当者とは異なる場合が多く想定される。1と同様の理由でリスクマネジメントに関する規定類の設定や、担当者のスキル習得などが不十分である可能性がある
- 取り扱う部署の業務特性上、個人マイナンバーはデジタルのみならず紙で取り扱うケースが多くなるであろうこと、その紙の書類は大半が「個人特定可能なマイナンバー」になっている状態であることが想定される。そしてその書類を社外に持ち出す(行政機関や自治体に持参し提出など)ことが想定され、ITでのセキュリティにのみ気を配ってもそれだけでは済まない可能性がある
- 万が一の流出トラブルでこうむるダメージがトップレベルの「特定個人情報」であるため、収集方法や取扱範囲の設定、廃棄などの処理方法やこれらの通知方法などといった諸々の業務フローを新たに、厳格に規定する必要がある
