全5回シリーズでお届けしているコラム「マイナンバーで何が変わるか」の第4回(「上・中・下」の3回に分けてお届けします)です。コラムを担当するのは、井上禎男准教授(法学部)です。
井上准教授は、法学部で行政法、情報法を担当しています。行政法の中でも、特に情報法・情報政策が専門分野です。社会的には、経済産業省(原子力関係)や 福岡市などの情報公開・情報保全に関する委員、佐賀県や福岡県内の各自治体での個人情報保護に関する委員、プライバシーマークの審査委員等を歴任していま す。また、個人情報保護に関する審議会・審査会委員の立場から、複数の自治体でマイナンバー、特定個人情報保護に関する評価やその支援業務に携わっていま す。
- 第1回:「私」の番号は、どこで、何に使われるのか
- 第2回:管理する側(組織)とされる側(「私」「本人」「個人」)との関係
- 第3回:行政の効率化と行政サービスの利便性向上〔上〕〔中〕〔下〕
■物理的安全管理措置・技術的安全管理措置・人的安全管理措置
第2回で触れたように、あくまで「管理される側」(「私」「本人」「個人」)の側に立った対応を図るのならば、漏えい等の不測の事態への対処も念頭に置いて、組織的な所管と系統、責任の所在を明確にしておくことが「利用」の前提となります。
ここではまず、組織の中で個人番号・特定個人情報を取り扱う部署が具体的にどこになるのか、その区域を明確にして管理を行う必要が生じます(物理的安全管理措置)。さらには、担当者(従業員)レベルでも、個人番号・特定個人情報ファイルへのアクセス権を誰が持つのか(アクセス権者の識別と認証については別途、技術的安全管理措置の問題になります)、さらには、事務担当者と責任者とを分離しておくことなど、組織的な所管と系統、責任の所在を明確にしておくことが第一歩です。また、ここで組織内での人事異動の可能性を考えれば、日常的な監督に加えて、当該担当者のみならず組織全体での従業員教育・研修等(人的安全管理措置)も不可欠になります。
さらにセキュリティーのような技術的安全措置についても、従前以上の組織的対応が求められることになります。ウイルス対策やソフトウエア等の最新化は当然ですが、新たに個人番号・特定個人情報にかかる段階ごとのアクセス制限措置を講ずるにしても、そもそも組織内での各端末においてすでにインストール済みであるソフトに関する検疫および定期的な検知徹底によるリスク回避なども考慮しなければならなくなるでしょう。
実際の「管理」に際しては、前記した種々のアクセスに関する制限措置のような技術的安全管理措置に加えて、個人番号・特定個人情報に関するアクセス記録を管理しておくことも必要です。さらに管理ツール上での匿名化の工夫(例えば適切なマスキング措置を講ずること)や実際の担当者の行動レベルでの措置・対応の徹底(一時的な離席時の適切な対応等)も不可欠となります。
