写真●特定個人情報保護委員会事務局の大塚徹郎調査官
[画像のクリックで拡大表示]

 特定個人情報保護委員会事務局の大塚徹郎調査官は2015年6月16日、「第二回民間企業のためのマイナンバーカンファレンス」(主催日経ビジネスオンライン、ITpro)で講演した(写真)。同委員会が策定した「特定個人情報の適正な取扱いに関するガイドライン」のうち、民間事業者に求められるセキュリティ管理などの「安全管理措置」について、要点を解説した。

 大塚調査官は、「マイナンバー制度は個人情報保護法の適用対象ではない民間事業者にも適用されるので、適切な対応をしてほしい。ただし、従業員数100人以下で一定の条件を満たす『中小規模事業者』には特例を設けており、実務への影響について配慮している」と説明した。

 各論では、マイナンバー(個人番号)を含む個人情報(=特定個人情報)については、法定の保存期間が過ぎて必要が無くなったら速やかに削除しなければならないことを強調した。中小規模事業者の場合は、「削除・廃棄したことを責任ある立場の者が確認する」ことが求められる。

 それ以外の事業者の場合はさらに要件が厳格で、「削除または廃棄した記録を保存する」ことを求められる。実務上は、マイナンバーを含む個人情報を扱う人事給与システムのような情報システムでは、一定期間経過後にマイナンバー部分を確実に削除できる設計にしておく必要がある。

 大塚調査官は、「マイナンバーを扱わない従来の情報システムでは、個人情報の保存期間をさほど厳密に設定していないかもしれない。だがマイナンバーの部分については、きちんと削除をすることを前提としたシステムを構築してほしい」と述べた。