顧問先の経理担当者に国税庁が発行するマイナンバーに関する「社会保障・税番号制度の早わかり」チラシをお見せしたところ、「先生わかるように解説してください」といわれました。ということで解説を試みようと思います。
マイナンバー対策については政府広報で明らかになっているのでその通りに準備すればいい、といいたいのですが具体的に何をすれば良いのかをこの広報内容でわかれば多分その方は準備をすることはなにもありません。しかしヒントはここに隠されています。
マイナンバー対策として企業が求められているのは、マイナンバーを扱う企業は「個人保護法上の特定個人情報事業者」になるということで、マイナンバーを扱わない企業では5,000件以上の個人情報を扱えば特定個人情報事業者となることと比較すると取り扱いが厳しくなります。マイナンバーを扱う企業は役員を含め一人以上の会社と5人以上の常勤従業員を抱える個人事業主、社会保険任意適用の個人、現前徴収義務がある企業全部となりその範囲が従来の個人情報保護法上の特定個人事業者と比較して数が増えることは想像に難くありません。
政府広報のマイナンバーチラシにはさりげなく「マイナンバーを含む個人情報」を個人情報と読んでいますが、個人情報があるからただちに個人情報保護法上の保護対象になるとは言えません。ことマイナンバーについていえば、これが1件以上の取り扱いで特定個人情報事業者になるということが最大のポイントです。
特定個人情報事業者が守るべき条件についていえば、特定個人情報保護委員会が定める『特定個人情報の適正な取扱いに関するガイドライン』があります。このガイドラインはJIS Q 15001:2006「個人情報保護マネジメントシステム―要求事項」と連動します。JIS Q 15001:2006は第三者認証としてプライバシーマーク認証がありますので、プライバシーマーク認証を受けると一定水準の個人情報保護体制があるという証明になります。最近のプライバシーマークに関する出来事といえば、2014年11月20日付でベネッセコーポレーションに対するプライバシーマーク認証取消があります。
ベネッセコーポレーションにおける個人情報の流出は
① 子会社の外注先である企業が個人情報を管理したこと
② 取扱担当者は外注先の企業の派遣社員であること
③ 派遣社員に特権IDを付与して個人情報の全件を抜かれたこと
が問題となります。実はマイナンバー制度対策としてシステム更新の話が出ると思いますし、現実に税理士事務所にも営業が来ていますが、ポイントはベネッセが教えてくれた通り、情報系ではなくあくまで人間系の対策が重要であるということです。言い換えるならば、情報システムそのものではなく情報システムを扱う人間側の問題であるということですが、これは当たり前の話です。当たり前なのですが、人間より機械が悪いと思うことが多いのです。
ということで、個人情報についての取り扱いはシステムではなく人間の問題が大きいとベネッセが教えてくれたのですから、我々はこれを他山の石とする必要があります。次回は最初の取り組みとして「何をどこまで管理するかを把握する」です。
