特定個人情報の管理
まず、小規模な事業者にとって厄介だろうと感じられるのは、ある意味「どんな業種のどんな企業であっても取り扱う情報のリスクレベルが一律同じ(事業規模と比例しない)」データである点です。
さらに小規模事業者の場合、マイナンバーと個人が紐付く可能性が(構成員の人数が少ないがゆえに)大企業に比べて高くなり、従業員が存在する限り今後このハイリスクな「特定個人情報」を他の大企業と同等以上に慎重に取り扱う必要があります。
また、その漏えい、滅失、毀損を防止するなど、特定個人情報保護委員会から示されるガイドラインに対応し「マイナンバーの適切な管理のために必要な措置」を講じる義務が新たに生じるため、もし自社内でなんとか対応するにしても、業者にアウトソースするにしても、いずれにせよ人、金銭、時間、それぞれ相応のコストも新たにねん出する必要が生じます。
小規模な事業者ではないケースにしても、個人マイナンバーはこれまで扱っていた営業秘密にかかる個人情報、つまり「すでにさまざまな対策がなされた保管場所」に保管され、かつ「取り扱いに慣れた担当部署や担当者がいつもの目的で収集、使用する」とはならない可能性がありますので、その場合は別途新たな情報収集と分析、対応施策の立案、担当者の教育、システム導入などといった対応が追加で必要となるわけです。
個人マイナンバーは厳格な本人確認の下に収集し、可能な限り個人が特定できるような情報とは分離された状態で保管、管理し、収集時に従業員や扶養家族などに明示した利用目的以外には利用せず、厳格な管理の下で保管され、また廃棄されなくてはなりません。
それには厳格なリスクアセスメントの制定と情報セキュリティポリシー策定、それらに基づいた担当部署や担当者への指導訓練、専門の部門や責任者の設置などといった組織づくりと厳格な運用が必須となります。
以前も書きましたが、私見としてはこうした「重い」情報については、必ず個人を特定可能な情報とは分離しておき、かつ権限を持った人であっても他の権限者が必要と認めない限り、個人が特定できる状態では触れないような仕組みにしてしまうのが良いと思います。
つまり個人の権限だけではどうやっても「特定個人情報」にはアクセスできないような措置を講じるのも一つの考え方ではないかと思います。
これは秒単位で迅速に処理する必要があるモノには相性が悪い仕組みではありますが、本件がそういった必要性に駆られる頻度はそう高くないように感じます。