▼「ついたて」よりもカギのかかる引き出し
マイナンバー法は、収集した個人番号が漏洩などしないよう、情報を保管・管理することを定めています。これが「安全管理措置」で、マイナンバーを取り扱う担当者を決めるなどしたうえで、(1)基本方針の策定(任意)、(2)取扱規程等の策定(大企業は義務。中小規模の企業は任意)、(3)組織的安全管理措置、(4)人的安全管理措置、(5)物理的安全管理措置、(6)技術的安全管理措置の6つが定められています。中小規模の企業(従業員100人以下など)には、いくつかの軽減措置が設けられています。
このうち重要な2つを解説すると、(5)は、たとえば個人番号を扱うパソコン(電子媒体)を担当部署フロアの奥に置くなどしたうえで、ついたて等の設置が求められています。個人番号が記録されたパソコンや書類を持ち出す場合の安全措置も義務づけられています。よく「ついたての設置」が話題になりますが、小規模なオフィスで、ついたてを置くのは現実的ではありません。むしろ「カギのかかる場所に保管」することが重要です。たとえばキャビネットや責任者の引き出しに保管してカギをかけるのです。
(6)は、パソコンなどで個人番号を取り扱う場合に、アクセス制御やアクセス者の識別・認証などが求められます。これも中小規模の企業には軽減措置があり、それぞれ「機器を取り扱う事務取扱担当者を限定することが望ましい」と記されています。
個人番号の廃棄・削除が義務づけられたことも、これまでにない厳しい規程です。いつ廃棄・削除するかは、法律で定められた文書の保存年限によって異なります。たとえば「扶養控除等(異動)申告書」の法定保存期間は7年なので、7年が経過したところで廃棄する必要が出てきます。実務上は、年度末に7年前に退職した従業員や、7年間取引のなかった取引先の廃棄・削除が一般的でしょう。