ちまたをにぎわせはじめているマイナンバー制度(番号法)だが、国民への番号交付が10月に迫り、かつ税務や社会保障といったフィールドでの利用も開始される直前で起こったのが、年金機構での情報漏えい事件である。
なんとも図ったかのようなタイミングでの漏えい事件に国会も世論も揺れ動いている。マイナンバーは今回の漏えい先となった年金機構にも接続されるためだ。すでに自治体においてはマイナンバー利用に向けたインフラが整備され、また民間企業でも準備が進んでおり、マイナンバー制度自体が立ち消えることはまずない。
むしろ今回の事件を受けて、自治体向けのマイナンバー用インフラに対するセキュリティ要件が強化されるだろうし、それに次いで事業者向けにすでに提示されているガイドライン(特定個人情報の適正な取扱いに関するガイドライン・事業者編)に含まれる技術的安全管理措置の内容も見直され、企業が対応すべき情報管理の要件のハードルが上がる可能性もあるので、今後の動きに注視する必要がある。
今回は公共システムで起きた漏えいであるものの、マイナンバー自体は各企業、事業者が責任を持って従業員やその配偶者の番号を管理しなければならないため、企業における情報管理レベルの温度感が、今回の事件と同様に生ぬるいものならば、自社が次の被害者となる危険性は極めて高い。
この連載では、企業におけるマイナンバーとの関わり方を最新のガイドラインおよびセキュリティトレンドとひも付けながら解説していくこととする。
第1回として、事業者がマイナンバー管理のために必要な対策を進める上で混乱を招いていることの1つの原因でもある、従来の個人情報に係る個人情報保護法への対応と今回の番号法との関係性を取り上げる。
番号法は個人情報取扱事業者の規模に関係せず、すべての事業者が対象となるだけでなく、事業者によっては個人情報保護法についての対策も求められるため、今再び「どこまでが個人情報なのか」についての議論も方々で耳にする。
そもそも個人情報の範囲についての議論は、国としてビッグデータ活用を推進するためにも「本人の同意なし」に公開できる範囲の定義をすでに定めており、「パーソナルデータ利用制限大綱」にてまとめられている。
上記の通り定義されている、個人を特定できるデータについては、個人情報保護法に基づき保護される必要があるが、今回さらにマイナンバー(個人番号)が付与されることで、マイナンバーとマイナンバーを含む個人情報(これを特定個人情報という)については、個人情報保護法の定めるよりも、強固かつ厳重な管理が番号法に基づき求められる。個人情報取扱事業者だけでなく、全事業者が対象となることを留意しなければならない。
出典:特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」 より抜粋
つまり従来の個人情報をファイルサーバやデータベースなどで一元管理しているような企業が、今後マイナンバーの管理を同様のサーバにて個人に紐づく新しい情報として管理するような場合、そのサーバ内の情報は特定個人情報という扱いになり、個人情報保護法および番号法の双方の適用範囲となる。
