安全管理措置の概要

最終更新日時:2016年(平成28年)11月02日

 マイナンバーを取り扱わなければならない事業者にとって頭が痛いのはなんといっても安全管理措置についてです。個人情報保護法の適用対象ではなかった中小規模の事業者であっても、他人のマイナンバーを一件でも預かる場合は安全管理措置の義務を負うことになってしまいました。本ページではそんな安全管理措置に付いて概要をさらっとまとめてみました。

安全管理措置の必要性

 マイナンバーが漏えいした場合、マイナンバーを使った不正なデータマッチングが行われると、個人の権利権益に対して甚大な被害を招くおそれがあります。また、マイナンバーを紛失してしまった場合にはマイナンバーの提供が必要となる行政サービスが受けられなくなってしまい、再発行にも煩雑な作業が伴うため国民の利便性が著しく害されることになってしまいます。

 そこでマイナンバー法ではマイナンバーを取り扱う事業者に対して、漏えいや滅失、毀損の防止や管理のための必要かつ適切な安全管理措置を講じることを義務付けています。

マイナンバー法における安全管理措置

第十二条 個人番号利用事務実施者及び個人番号関係事務実施者(以下「個人番号利用事務等実施者」という。)は、個人番号の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。

 マイナンバー法12条が安全管理措置の法的根拠になっているもので、マイナンバーを取り扱う事業者に対して、漏えいや紛失等しないようきちんと管理するように求めています。個人情報保護法にも安全管理措置に関する規定がありますが、マイナンバー法との違いは個人情報保護法の規制対象は個人情報取扱事業者に限るため、これに該当しない中小規模事業者は安全管理措置の義務が免れるのに対して、マイナンバー法は他人のマイナンバーを1件でも保有していれば安全管理措置が義務付けられる点がまず挙げられます。そしてもう一つの大きな違いとして死者のマイナンバーの保護です。

死者のマイナンバーの取り扱い

 個人情報保護法では死者の個人情報というのは保護の対象になっていませんでした。それに対してマイナンバーは本人が死亡したとしても消滅することなくそのまま残り続けます。一定期間経過後に他の人と紐付いて使いまわすと言うことはありません。そのため死者の名誉や遺族の権利権益を保護する観点からマイナンバー法で死者のマイナンバーも安全管理措置の対象としている点で大きな意義があります。

違反者への罰則

 マイナンバー法12条、安全管理措置義務違反にはマイナンバー法37条の個人情報保護委員会による勧告・命令の対象となります。そしてこの委員会からの命令にすら違反したものには56条の命令違反により2年以下の懲役又は50万円以下の罰金刑が科せられます。

 違反したら即罰則という直罰規定ではないのですが、プライバシーなどに敏感な現代においては個人情報保護委員会が介入してきたというだけでも企業イメージの悪化が懸念されてしまいます。

安全管理措置の具体的内容

 安全管理措置は一般的に以下の4つのフェーズに分類・整理されます。

①組織的安全管理措置
②人的安全管理措置
③物理的安全管理措置
④技術的安全管理措置

それぞれ以下のような性格をしています。

安全管理措置
組織的安全管理措置責任者やその権限を明確に定め、安全管理に関するルール・規定を整備し、その運用状況を確認する
人的安全管理措置情報漏えい等の事故を防ぐためのルールを従業員に周知徹底し、誓約させ、教育を施す
物理的安全管理措置盗難、紛失、のぞき見などによる情報漏えいを物理的に阻止する
技術的安全管理措置情報システムへのアクセス制御や不正ソフトウェア対策、暗号化などの技術的な対策を施す

具体的にどのような手順を踏んで検討していくかは次ページに続きます。