マイナンバーの取得は安全管理措置ができてから
事業者は、情報漏えい等の防止等のために、「安全管理措置」の体制(別記1)を整備する必要がある。整備しないまま個人番号を取り扱うことはできない。
個人番号を含む個人情報(特定個人情報)の適正な取扱いについては、特定個人情報保護委員会が作成した「特定個人情報の適正な取扱いに関するガイドライン」に沿って、事業者の特性や規模に応じて可能な対応を実施することが望まれている。
マイナンバー取得までの検討手順は、(別記2)の通りである。法律やガイドラインでは、個人情報の不正利用に対する懸念に対応して罰則を強化し、事業者に過度な義務を押しつけている。高額な管理システム導入の宣伝もみられるが、過敏に反応するのではなく、医院の規模に応じて適切に対応することが肝要だ。
基本方針・取扱規程等の策定
従業員百人以下の事業者(小中規模事業者)は、基本方針や取扱規程等の策定義務はないが、漏えい時の罰則は軽減されない。罰則は故意犯を想定したものなので、基本方針等に基づき適正に安全管理措置を講じていれば安心だ。
基本方針には、事業者の名称、関係法令・ガイドライン等の遵守、安全管理措置に関する事項、質問及び苦情処理の窓口等について定める。
取扱規程は、個人番号の管理(取得・利用・保存・提供・廃棄)段階ごとに、取扱方法、責任者・事務取扱担当者及びその任務について定め、後述する各安全管理措置を折り込む。
組織的安全管理措置
安全管理措置を講ずるための組織体制の整備を行う。
検討すべき内容は、①責任者の設置と責任の明確化、②事務取扱担当者とその役割の明確化、③特定個人情報の業務範囲の明確化、④取扱状況を確認するための記録方法の整備、⑤情報漏えい等の事案発生に備えた連絡報告体制等の整備――等である。
個人開業医療機関の場合、その規模から院長や配偶者、または事務長など管理職が担当し、取扱者を限定することが大切だ。
業務範囲は、本紙10月25日号で掲載したとおりである。安全管理措置を講ずるべき特定個人情報ファイルの種類や名称の把握も必要だ。個人番号が記載された書類や電子データは必要最低限にしておく。電子データでの管理は、漏えいリスクが高いので紙ベースでの管理がよい。特定個人情報ファイルには、従業員等から個人番号の収集を求めた際の提出書類(通知カードのコピー等)や、扶養控除等異動申告書が該当すると考えられる。源泉徴収票や給与支払報告書、雇用保険や社会保険の資格取得届等の書類は、個人番号の記載はするが関係機関に提出するので事業者には残らない。控えのコピーは取らず、提出したことを記録に残しておくとよい。そのための取扱記録簿を準備する。
個人番号の取得や利用、廃棄など取扱状況は記録に残しておくことが重要だ。もし、従業員等が個人番号の提供を断り、源泉徴収票等に個人番号を未記入で提出した場合でも、従業員が断った旨を記録に残しておけば、事業者の単なる義務違反でないことを証明する資料にもなる。
また、院長が特定個人情報の取扱状況について定期的に点検することも大切だ。
人的安全管理措置
検討すべき内容は、①事務取扱担当者の監督と教育、②従業員に対する特定個人情報の取扱いに関する留意事項等についての研修――等である。
従業員には、個人番号の収集のために利用目的を通知する必要があるが、その前にマイナンバー制度の内容を説明しておく必要がある。特定個人情報は、秘密保持の徹底が求められることから、従業員から秘密保持のための誓約書の提出を求めるか、就業規則等にその旨を盛り込む等の対応を取っておく。ただし、個人番号の提出や利用目的の内容を就業規則に盛り込むことは避けた方がよい。法律では勤務先等に個人番号を提出する義務はないが、就業規則に盛り込むことによって、提出に法的拘束力が発生してしまうからだ。
物理的安全管理措置
検討すべき内容は、①特定個人情報を取り扱う区域の管理、②盗難等の防止措置、③保存期間が経過した個人番号の削除――等である。
漏えい等の防止のために、特定個人情報ファイルを取り扱う事務を実施する場所を限定することや、ファイルを鍵付きの棚などで管理し盗難等を防ぐための安全な方策を講じる。
保存期間が経過した個人番号は、できるだけ速やかに復元できない手段(シュレッダーや個人番号のマスキング処理等)で削除又は廃棄ができる方法を構築する。
技術的安全管理措置
検討すべき内容は、情報システムを利用した事務を行っている場合の、①特定個人情報を取り扱う機器の特定と取り扱う事務取扱担当者の限定、②外部からの不正アクセスや不正ソフトウェアから保護する仕組みの導入――等である。
特定個人情報は紙ベースの管理で十分だが、事業規模等から情報システムを利用しないと個人番号関係事務を遂行できない場合に対応が求められる。その場合でも、通常、機器に標準装備されているユーザー制御機能などを活用して対応すればよい。
外部委託する場合の取扱い
年末調整事務を会計事務所に委託することや、雇用保険等事務を社会保険労務士や労働保険事務組合に委託する場合においても、事業者はその委託先において取り扱う特定個人情報の安全管理措置が適正に講じられるよう必要かつ適切な監督を行わなければならない。具体的には、①安全管理措置に関する委託契約の締結、②委託先における特定個人情報の取扱状況の把握――等である。
契約内容として、秘密保持義務、特定個人情報の持ち出しの禁止、目的外利用の禁止、漏えい事案等の発生時の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業員に対する監督・教育、契約内容の遵守状況の報告等を盛り込む。その対応については、通常は委託先から打診があると思うが、ない場合は委託先に確認する必要がある。