〔研究者コラム〕ー「マイナンバーで何が変わるか(第4回〔上〕)」事業者がなすべきこと ①( 管理体制の構築、取得・利用・提供および保管・廃棄の留意点 )ー

全5回シリーズでお届けしているコラム「マイナンバーで何が変わるか」の第4回(「上・中・下」の3回に分けてお届けします)です。コラムを担当するのは、井上禎男准教授(法学部)です。

井上准教授は、法学部で行政法、情報法を担当しています。行政法の中でも、特に情報法・情報政策が専門分野です。社会的には、経済産業省(原子力関係)や 福岡市などの情報公開・情報保全に関する委員、佐賀県や福岡県内の各自治体での個人情報保護に関する委員、プライバシーマークの審査委員等を歴任していま す。また、個人情報保護に関する審議会・審査会委員の立場から、複数の自治体でマイナンバー、特定個人情報保護に関する評価やその支援業務に携わっています。

00_line-top.gif

前回までの内容を踏まえて、第4回(今回)と第5回(次回・最終回)では、特定個人情報の取り扱いのプロセスに応じた対応・措置※について、私自身が自治体で学んできた経験も加味しながら(なお、民間事業者・企業はもちろんのこと、特定個人情報の場合には自治体等も従業員等を有する全ての事業者に該当するため、「ガイドライン(事業者編)」(第3回〔上〕を参照)に則した対応が求められることになります)、適宜、確認してみることにします。

※詳しくは、特定個人情報保護委員会ウエブサイトを参照 (2015年9月時点でアクセス可能) 

■個人情報と特定個人情報での対応の違い

個人情報であれ特定個人情報であれ、管理する側となる民間事業者・企業が携わる際にとどめおくべき姿勢・意識については、第2回で触れたとおりです。

しかし、特定個人情報の場合には、事業者が個人番号(マイナンバー)法によって個人番号を利用できる事務が限られています。主に社会保障および税に関して行政機関や保険組合等に手続書類を提出する際に、あくまで目的の限りで従業員に個人番号の提供を求めてこれを収集し、その上で利用・保管等を行うことになります。ここでは必要な期間を超えて保管をすることもできません。

そのため、従来から民間事業者・企業に存在する個人情報、すなわち営業の目的・用途等から収集・利用・管理している顧客情報や特定個人情報とは別途の従業員等の個人情報とは扱いを異にすることになります。そうすると、従来からの個人情報に関する組織内での"ルール"をそのまま用いることはできず、新たに番号法やガイドラインの趣旨にそった"特定個人情報のルール"が必要になるわけです(第3回〔上〕を参照)。

■組織的安全管理措置

規程等の見直し作業は、情報漏えい等の事案に対応する体制の整備(さらに救済に関する組織的な対応については第2回で触れています)等と並んで、組織的安全管理措置の一端となります。

しかし、新たに特定個人情報に関する"ルール"を策定すればおしまい、そうした"ルール"ができたことで安心・満足してしまうことが、実は最も危ないことと言えます。肝心なのは、こうした"ルール"を継続的に運用するための組織的な体制と意識の持ち方、動機付けです。

01_line-under.gif