• TOP
  • SPECIAL TALK
  • マイナンバー制度施行!企業が行うべき準備と対応(5/5)

◆書類の保管と情報管理の問題

マイナンバー法では、個人番号の記載されている書類とデータは廃棄および削除が義務化されています。企業が個人番号を保管してよいとされるのは行政に書類を提出するために必要な場面だけですから、役所に提出する事務を行う必要がなくなり、かつ保管の義務期間を過ぎた時点で廃棄しなければなりません。

たとえば、「給与所得者の扶養控除等(異動)申告書」の保管期間は7年間ですから、7年経ったらそのまま保管し続けておくことはできなくなります。データベースに入っている個人データも削除しなければなりません。書類のデータを廃棄する規定を設けている企業は多くなく、まだ書類廃棄のルール化がなされていない企業は、新しく廃棄の仕組み作りに着手する必要があります。たとえば、総務部長が年に一度、12月に保管書類の洗い出しを行い、退職後7年経った従業員の書類を一括破棄し、保存データを削除するなどの規程を定めるということです。

さらに、削除または廃棄した記録を保存することが義務化されていることも重要なポイントです。どのデータ、どの書類を削除もしくは破棄したのかを記録として残しておかなければならないという決まりになっています。書類の破棄やデータの削除を第三者に委託した場合は、委託先から破棄または削除した証明書を提出させる必要があります。廃棄もしくは削除の「手法の例示」として図表7のような事項がガイドラインに記されています。

特定個人情報の廃棄もしくは削除の手法(例)

次に情報管理の問題に関しては、新しく「管理区域」と「取扱区域」という概念が生まれ、区域による管理の方策を講じるよう明示されています。「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域で、サーバールームのような場所です。もう一方の「取扱区域」とは、特定個人情報を取り扱う事務を実施する区域で、総務部や経理部などの一般的な事務オフィスのような場所をいいます。

これまでの情報管理は主に「管理区域」で厳格に実施されていましたが、マイナンバー法の下では、「取扱区域」においても物理的な安全管理の措置を講じなければならないとされています。たとえば、壁や間仕切り等の設置や座席配置の工夫を行うといったことで、座席配置工夫の例を挙げると、事務取り扱い担当者以外の往来が少ない場所の座席配置や、後ろからのぞき見される可能性が少ない場所への座席移動等が考えられます。

◆委員会の立入検査権

マイナンバー法では、特定個人情報の有用性に配慮しつつ、その適正な取り扱いを確保するために必要な個人番号利用事務等実施者に対する指導、助言その他の措置を講ずることを任務とした組織である「特定個人情報保護委員会」が設置されました。

委員会は、特定個人情報の取り扱いに関して違反行為をした者に対して、期限を定めて違反行為の中止、その他違反を是正するために必要な措置を取るべき旨を勧告することができるとされています。さらに、勧告を受けた者が正当な理由がなく勧告にかかわる措置を取らなかった場合は、期限を定めて勧告にかかわる措置を取るべきことを命ずることができます。また違反行為が行われた場合において、個人の重大な権利を害する事実があるため、緊急に措置を取る必要があると認められるときは、違反行為をした者に、期限を定めて違反行為の中止その他の違反を是正するために必要な措置を取るべき旨を命ずることができるとされています。

また、委員会は特定個人情報を取り扱う関係者に対し、必要な報告もしくは資料の提出を求めたり、委員会の職員に直接事務所等に立ち入らせ、質問や帳簿書類その他の物件を検査することができます(図表2)。この立入検査権は、これまでの個人情報保護法では存在していなかった強力な権限で、特定個人情報の取り扱い上、何らかの違反行為が疑われると、いきなり委員会が踏み込んでくるという企業にとっては大変な混乱を招く事態が引き起こされます。

法施行前の現在でも、情報漏えい等の事件、事故は絶えませんが、マイナンバー法施行後は、法的な罰則も適用されることとなります。特に、個人番号流出の「第一号」になってしまうと、企業の存続にもかかわる大事件になってしまうことが予想されますので、そうならないためにも、きたる施行日に向けて、法対応をしっかり行っていきましょう。

当該制度に関してはまだ国の方針が固まっていない部分も存在します。まずはできるところから着手をして、最新の情報を常に察知し収集しながら、きめの細かい対応を推進していくことが望まれます。

(『月刊総務』2015年4月号より転載。本記事に掲載している情報は2015年2月末日時点でのものです)

影島 広泰さん

牛島総合法律事務所
弁護士

1998年一橋大学法学部卒業、2003年弁護士登録、牛島総合法律事務所入所。ITシステム・ソフトウェアの開発・運用、個人情報・プライバシー、ネット上のサービスや紛争に関する案件を中心に、企業法務の第一線で活躍中。実務の観点からのわかりやすい講義に定評がある。マイナンバー法の実務対応に関するセミナー、講演多数。


【特集】
ハイブリッドな働き方に合わせたこれからのオフィス

【第二特集】
企業の働き方はどう変わる? ジョブ型雇用のポイント

【総務のマニュアル】
施行前に押さえておきたい 改正個人情報保護法

>>立ち読みする