マイナンバー最前線

【マイナンバーを取り扱う具体シーンごとの注意点】第3回 (5/5)

マイナンバー利用の注意点

水町 雅子=五番町法律事務所 弁護士

【2015/10/06】

5.プライバシー影響評価でリスクをチェック

 以上が、マイナンバーを利用する際の注意点である。余力のある読者は、マイナンバー利用時のリスクについて「プライバシー影響評価(特定個人情報保護評価、PIA)」の考え方に基づいてチェックしてみよう。

 プライバシー影響評価では、個人情報の取り扱いフェーズごとに、起こり得るリスクを考え、リスク防止のための対策を検討する。起こり得るリスクにはさまざまなものがあるが、典型的なリスクとして、利用の場面では(1)過剰ひも付け、(2)無権限利用、(3)目的外利用、(4)不正複製が挙げられる。

(1)過剰ひも付けリスクへの対策
 過剰ひも付けは、必要以上の個人情報をひも付けてしまうリスク、集約してしまうリスクである。前記2(1)(2)、4を参考に、マイナンバーを何のために利用するのか、そのためにはどのような情報がマイナンバーと共に必要となるのかを把握し、それ以外の情報とマイナンバーは基本的にひも付けないようにしよう。

(2)無権限利用リスクへの対策
 無権限利用は、利用する必要のない者が個人情報を利用してしまうリスクである。まずは、マイナンバーを利用する必要のある者を、前記2(2)を参考に特定しよう。その者以外がマイナンバーを利用していないか、記録などを基に確認していこう。

 また、マイナンバーを書面で利用するのであれば、前記2(3)を参考にマイナンバーを取り扱う場所を制限して、マイナンバーを利用する権限がない無関係の者がマイナンバーをのぞき見たり利用したりできないようにする。マイナンバーをシステムで利用するのであれば、取り扱う場所を制限すること、ユーザーIDなどを発行・管理して権限のある者以外がマイナンバーにアクセスできないようにすること、技術的対策を行い無関係の外部者がマイナンバーに不正にアクセスできないようにすることなどの対応を行っていく。

(3)目的外利用リスクへの対策
 目的外利用は、本来の用途以外に個人情報を利用してしまうリスクである。例えば、健康保険手続きのために保有しているマイナンバーを従業員のサークル管理のために利用してしまったり、従業員が個人的興味から他人の個人情報をのぞき見たりしてしまうリスクである。

 これを防止するためには、まず利用目的を特定し、利用目的に沿った利用を行うよう、従業員に周知徹底する。そのほか、個人情報の正しい取り扱いについて、定期的に従業員に研修を行う。その際、必ずしも個人情報保護法の条文解説などを行う必要はない。従業員が自分の事として個人情報保護を考えられるよう、最近報道された個人情報の不適切事例などを例に挙げたりするとよいだろう。

(4)不正複製リスクへの対策
 不正複製は、必要以上に個人情報を複製してしまうリスクである。バックアップなどの必要な複製であればよいが、従業員が個人的にファイルを複製して自宅に持ち帰ったりすれば、不正利用・漏えいなどのさまざまなリスクが生じうる。

 システム面での対策としては、CD、DVD、USBメモリーなどの差し込みを許可するパソコンを限定したり、個人情報はサーバー側で保有してクライアント側にはファイル出力させないようにしたりすることなどが考えられる。

 書面への対策としては、マイナンバーが記載された書面を不必要にコピーしないよう、従業員に周知徹底しよう。また業務上、顧客などの身分証明書を取り扱う会社であれば、2016年以降は個人番号カードを取り扱うケースが想定されるので、特に注意が必要だ。マイナンバーを必要とする業務でなければ、裏面のマイナンバー部分を誤ってコピーすることがないよう、従業員に周知徹底しよう。