疑問8:Excelのファイルにマイナンバーを保存しておいても大丈夫?

では、マイナンバーを含めた個人情報の漏れは一切ないと言い切れるのだろうか。残念だが「ない」とは言い切れない。マイナンバーとひも付いた個人情報(特定個人情報)は、各行政機関に加え、民間企業も保有することになる。例えば、日本年金機構の情報漏えい事件のときは、インターネットから遮断されたネットワークで情報を保管していたが、日常業務を処理する際、ネットに接続した業務用のサーバーに情報を移動したことで漏れた経緯がある。これと似たケースで、マイナンバーにおいても、各行政機関の特定個人情報が漏れてしまう懸念は大いにある。一方、民間企業においても、ずさんな管理が原因で従業員の個人情報が漏れる可能性も指摘されている。

楠氏も、特定個人情報が漏れる可能性については「ある」と認める。ただし、それを防止する手立ては導入しているそうだ。具体的には、「行政機関については個人番号を取り扱う事務が個人のプライバシー等の権利利益に与える影響についてリスク分析を行い、その結果を『特定個人情報保護委員会』に対し『特定個人情報保護評価書』として公表する義務を課している」(楠氏)という。

そもそも、日本年金機構の場合、運用ルールを順守していれば、あのような事態は起こり得なかった。この失敗を踏まえ、マイナンバーでは、各行政機関が運用ルールを逸脱することがないように、「特定個人情報保護評価書」を提出させ、一定の縛りや緊張感を持たせることで、日本年金機構のような事態が起きにくい仕組みにしてあるのだ。各行政機関が提出する「特定個人情報保護評価書」は、「特定個人情報保護委員会」のサイトで閲覧することができる。さらに9月に議員修正を経て成立した改正マイナンバー法で(*)、個人番号を扱う行政機関に対しては、個人情報保護委員会が定期検査を行うこととなった。

*参考:http://www.sangiin.go.jp/japanese/joho1/kousei/gian/189/meisai/m18903189034.htm

画像を拡大
2015年9月に成立した改正マイナンバー法(冒頭部分)

民間企業における従業員の特定個人情報についても「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に従って、適正かつ安全に管理するよう規定されている。ただ、一定規模の企業であれば、マイナンバーに対応したシステムを構築したり、ガイドラインに沿った対策を実施することができるが、中小企業の中には、ガイドラインの要求を満たせない場合もあるだろう。

たとえば、誰でもログインできるパソコンのExcelのファイルに従業員のマイナンバーと個人情報を記録して保存しておくといった、“ゆるい”管理を行う企業もありそうだ。楠氏は「無理してマイナンバーに対応したシステムを導入する必要はないが、パソコンにアクセスできる人を制限し、ファイルにパスワードをかけるなどの管理は実施してほしい」という。また、紙の帳票についても、鍵のかかるロッカーに保管するなどの対策を行うことで漏えいの確率をかなり抑えることができるだろう」と話す。