厳密に言うと、下記の番号法ガイドライン第3~7項に述べられているように、事業者規模によらず番号法は適用される。一方、個人情報取扱事業者とならない企業においても、番号法に規程が設けていない部分については、個人情報保護法に従った対策が望まれる。
余談だが本当に紛らわしい語いばかりで、ガイドラインを読んでいても文中で言及している内容、範囲がどこまでかが非常に分かりにくく、これが今回事業者にてさまざまな混乱を招いている諸悪の根源かもしれない。
出典:特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より抜粋
個人情報保護法については2014年の大企業における内部不正を起因とする情報漏えいを受け、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改正されている。こちらについて対象となるのは個人情報を取り扱っている事業者であり、マイナンバーを取り扱う事業者ではない。
特定個人情報保護に係る各ガイドラインの対応項目イメージ図
ただ、この経産省からのガイドラインに含まれる表現は「望ましい措置」としての位置付けが多く、強制力は弱い。
しかしながら、今企業に欠けているポイントを明確についたものではあり、またマイナンバーが従来の個人情報と同様の箇所に管理された場合、特定個人情報としてより法的な罰則が設定される。企業としては上記ガイドラインに記載の内容をふまえつつ、番号法のガイドライン(特定個人情報の適切な取扱いに関するガイドライン)に準拠していかなければならない。
実際、双方のガイドラインの中身としては共通する部分も多く、差分についてどう対応すればよいのかがわからない企業も少なくないようだ。
しかし大事なのは、ガイドラインにて定義されている要件と自社の情報管理の現状を照らしあわせた上で、「特定個人情報が漏えいしないために必要なこと」を見極め、正しいアクションを取るということである。
