マイナンバーの心配

マイナンバー制度が来年2016年1月からスタートします。政府のCMも始まり徐々にその認知度は上がってきたように感じています。

お客様との話の中にもマイナンバーネタが出てくるようにもなりました。

この制度がスタートすると、事業者の方々は「個人番号関係事務実施者」として先述の行政手続き上の書類にマイナンバーを記載しなければならなくなるため、当然のことながら従業員その他のマイナンバーを収集する必要が出てきます。そうして事業者が収集したマイナンバーについては、

「個人番号利用事務実施者及び個人番号関係事務実施者（以下「個人番号利用事務等実施者」という。）は、個人番号の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。」（マイナンバー法第12条）

とされています。

ところで、法の言う所の「適切な管理のために必要な措置」とは具体的にどのようなものを言うのでしょうか？

これについては、逐条解説にはは下のとおり記載されています。

　漏えい、滅失又はき損の防止その他の個人番号の適切な管理のために必要な措置
保管庫の施錠、立入制限等の物理的保護措置、ネットワーク接続されているコンピュータへのファイアウォールの構築、情報の暗号化等の技術的保護措置、職員に対する教育・研修の実施、安全管理者の設置等管理体制の整備などの組織的保護措置等である。

この辺りについては「特定個人情報の適正な取り扱いに関するガイドライン（事業者編）」に更に詳しい記載があり、安全管理のための措置としては、

基本方針を策定し
取扱規程等を策定し
組織的安全管理措置
人的安全管理措置
物理的安全管理措置
技術的安全管理措置

を講ずべきものとされています。

中でも物理的安全管理措置はかなり大変かと思われます。

たとえば、管理区域にはICカードや№キーによる入退室管理システムの導入、取扱区域には壁や間仕切りの設置などが挙げられており、機器や書類の媒体は施錠できるキャビネット等に保管、持ち出す場合についてはデータの暗号化や施錠できる搬送容器の使用する、などとされています。

しかし入退室管理システムなど、大企業ならいざ知らずそうそう易々と導入できるものとは思えません。しかし、制度がスタートする以上、やれと言われればやらなければいけないわけで、この先なかなか頭の痛い問題です。