では、マイナンバーの提供を求める必要があるのはどのようなときか、また何をしなければならないのかを検討します。ガイドラインによれば、一般事業者がマイナンバーを収集するのは、以下のものが例示されています。
給与の源泉徴収事務
扶養控除等申告書の提出
健康保険・厚生年金保険届出事務等に必要な個人番号の提供
講演料、地代等に係る個人の支払先に対し、支払調書作成事務
他にマイナンバーの提供を求める場面が存在するかもしれませんが、今、マイナンバー対策を考えることを検討する必要はないと考えます。他の場合とは災害発生時であって、この取得利用についての法律上の制限が外れるからです。
行政がマイナンバーを説明する際にはあくまで行政が利用することを前提とした説明を行います。これに対して民間がマイナンバーを扱うためには「利用」と「情報セキュリティマネジメント」を分けて考える必要があり、特にセキュリティマネジメントに焦点を当てた説明がなされています。実は行政の方と民間では「セキュリティが利用に先行する」民間と「利用ありき」の行政がずれています。
実を言えばマイナンバー法で想定される利用に限定される限り、「個人情報取扱実施者」の民間として言うならばマイナンバーは知りたくないのです。これは家族情報を知りたくないのにも拘らず、扶養控除申告事務を扱うのに家族情報を収集することと同じです。事務担当者は知りたくないし、番号を提供する従業員は積極的に教えたくないのかもしれません。
提供を受けるときに注意することは次の三点です。
① 情報セキュリティは必要過不足なく確保されていること
② 信頼を持って情報提供を受ける環境にあること
③ 必要以外に流用をしないこと
第一の情報セキュリティが過不足なく確保されていることを受けて一番良いのは個人情報取扱実施者である会社にマイナンバーを持たないことです。信頼できる倉庫に預けて必要に応じて倉庫から取り出すことが一番確実です。ここでは倉庫料だけ発生します。このことをICTの世界ではクラウドコンピューティングといいます。ただ、ここをビジネスチャンスとしてICT商品の売り込みを図ることがありますので注意が必要です。
信頼を持って情報提供を受ける環境にない例は、昔でいえばYahoo Japan、直近ではベネッセコーポレーションの顧客情報流出が挙げられます。年金機構で起きた情報流出の例からあたかもサイバーテロで流出することが多いように聞こえますが、実際のセキュリティーホールは人間であることがほとんどです。このため、信頼を得るにはどうすることがよいのかという問いの答えになりますので、これはマイナンバーだけに限ったことではないのです。
必要以上に流用しないことに関連して、個人情報カードに医療情報を紐付けしようと考えています。将来的には預金開設に当たってもマイナンバーと照合しようと考えられています。ただ、マイナンバーの管理は分散管理です。一か所のデータを抜きとれば全容が判明するというものではありません。