今さら聞けないマイナンバー制度ってどんな制度
用語説明を含めて超入門
マイナンバーとは、正式には特定個人情報とも呼ばれ「番号(個人:12桁、法人:13桁)+基本4情報(氏名・住所・生年月日・性別)」で構成されます。
この特定個人情報は、「社会保障・税・災害」の3つの分野にしか利用することはできません。個人情報は許諾が得られていれば、取得時の目的以外にも利用することができますが、この点はちがいます。
番号法は、個人情報保護法の特別法として定められていますので、基本的には個人情報保護法に定められている事項を引き継ぎます。
さらに、番号法にのみ定められていることがプラスされるというイメージです。
事業者への努力義務
個人番号の利用が直接的・間接的に認められる事業者や法人番号が付番される事業者に対し、番号制度の重要な関係者として、国又は地方公共団体が実施する施策に協力するよう努力義務を規定する(要約)ということが、番号法 第1章 総則に定められています。
番号法の盤即規定は、個人情報の罰則規定に比較すると重い罰則規定となっています。罰則対象には個人だけでなく法人も含まれます。つまり、従業員が犯罪を犯すと会社も罰せられる可能性があるということです。
4つの安全管理措置
番号法には、「組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置」の4つの安全管理措置が定められています。各々の安全管理措置の内容については口述します。
その安全管理措置を実施するために、「基本方針」「取扱規程等」を定めることとしています。取扱規程等となっているのは、管理帳票や運用のための書式を含めるからです。
業務のプロセスに沿って安全管理措置を定める
番号法では「取得」「利用」「保管」「提供」「廃棄」「開示・訂正・利用停止等」のプロセスを定めており、各々のプロセスに該当する安全管理措置を盛り込んで、各プロセスで特定個人情報を保護することを定めましょうと言っています。
こう見るとかなりのプロセスがありますので、私は、「利用」と「開示・訂正・利用停止等」が似ていると感じたので、くっつけてプロセスを定めています。
いずれにしても業務の流れのまとまり(アクティビティとかタスクとか呼ばれます)ごとに、安全管理措置を定めることです。
個人情報保護法との違い
番号法と個人情報保護法の違いで特徴的な点は、「不要になった特定個人情報は、適切に廃棄・削除しなければならない」という点です。法定帳票には保管期間があるので正確には、「不要になた時点を起点にして保管期間を過ぎたら適切に廃棄・削除しなければならない」ということになります。
事務手続きでは、1.使用しなくなった時点(使用停止時期と呼ぶことにしましょう)を明確にする。2.使用停止時期を起点として保存終了期限がわかるようにする。3.保存終了期限が来たら削除する。という手続きになります。少なくともこの3つの時点がわかるように特定個人情報が記載されている法定帳票を管理しておくことが必要です。
具体的に「いつ消すのか」については、1年に一度程度各企業で削除する日を決めておく程度の運用(例えば、期末月の第三木曜日)で構わないようです。
以降では、安全管理措置や対応策の策定方法についてみてみることにします。