Which

マイナンバー制度対応は、番号法等の関係諸法令やガイドラインを順守するために経営者が整備するコンプライアンスおよび情報管理体制の構築です。

ガイドラインにいう「安全管理措置」とは事業者における「内部統制」そのものなのです。

内部統制の構築が難しいと言われるのが、どこまで整備すれば良いか、マイナンバーでいえば特定個人情報を適切に取り扱うとはどの程度のことをすれば良いのかについて一律には規定することができないところにあります。

マイナンバーとリスクマネジメント

事業者向けのガイドラインでも、マイナンバー制度対応は内部統制の構築であると考えていると最初に確信したのは、特定個人情報保護委員会事務局が平成26年10月10日に公表した「特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方」にある次の記述を読んだときです。

取扱規程等については、事業者により規模、特性が異なること、実際に個人情報ファイルの取扱規程を作成するためには、各事業者の具体的な事務の流れを整理する必要であることから、当委員会としてこうした取扱規程の統一的なモデルを作ることは適当ではないと考えます。

(特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方 No60 「取扱規程の策定」の「考え方」より) ※太字は筆者による強調

これは「安全管理措置に関する取扱規程等を作成するに当って、ひな型を提示して欲しい。」という質問に対する回答です。

これを読む限り、特定個人情報の取扱いについてどの程度安全間措置を組み込めばよいかは事業者によって異なる(一律に規定することができない)という認識を持っていることがわかります。

ガイドラインにはリスクの用語がない

内部統制の構築ということであれば、リスクありきで考えます。

ですので、ガイドライン案の安全管理措置の検討内容の記述では、リスクという用語が出てくると想定していました。

ところが、ガイドラインには1回もリスクという用語は出てきませんでした。

ちなみに、ガイドラインで示された検討手順は次の5つです。

  1. 個人番号を取り扱う事務の範囲の明確化
  2. 特定個人情報等の範囲の明確化
  3. 事務取扱担当者の明確化
  4. 特定個人情報等の安全管理措置に関する基本方針の策定
  5. 取扱規程等の策定

私と同じようにリスクについて触れていないことに疑問をもった方もいらしたようです。

事業者向けのガイドライン案は平成26年10月10日から11月9日までパブリックコメントが募集され、それを検討したうえで平成26年12月11日に「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が確定されています。

特定個人情報保護委員会事務局から、このガイドラインと同時に公表されたのが、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(案)に関する意見募集の結果について」です。

次のとおり、リスクに対する特定個人情報保護委員会の考え方が記載されています。

まずは、寄せられた意見です。

【該当箇所】本文P48、P49

【意見】 P48、P49の「□1 安全管理措置の検討手順」に、重要な手順の一つとして、「リスクなどの認識、分析及び対策」という項目及び「明確になった特定個人情報の範囲を踏まえ、その取扱い上のリスクを認識、分析し、必要なリスク対応策を検討することが重要である。」主旨の記述を挿入すべきである。

【理由】 安全管理措置は、事業者によって特定個人情報を取扱う環境や条件が異なることから、それぞれの状況に応じてリスクを認識した上で構築することが重要である。

(特定個人情報の適正な取扱いに関するガイドライン(事業者編)(案)に関する意見募集の結果について No72「寄せられた御意見等」より) ※太字は筆者による強調

この意見に対する考え方は次のとおりです。

御意見の手順は、E取扱規程等の策定において実施されるものと考えられます。

(特定個人情報の適正な取扱いに関するガイドライン(事業者編)(案)に関する意見募集の結果について No72「御意見等に対する考え方」より) ※太字は筆者による強調

個人的には「いやいやガイドラインを直そうよ」と思うのですが、おそらく、マイナンバー制度に対応しなければいけない事業者は限定されていないことから「リスクマネジメント」というものを中小規模事業者も含めてガイドラインで明示的に要求するのは控えたのかな、と当時は勝手に考えていました。

しかし、思い起こせばここが分岐点だったのですね。

ガイドラインに明示していないから気にされることがないですし、しかも上記考え方を読む人がいたとしても、「御意見の手順は、E取扱規程等の策定において実施されるものと考えられます。」というのは、実務的な手順を考えると説明が不足しています。

取扱規程が先か、安全管理措置の整備が先かについては、双方向で影響を与えるのですが、少なくともどちらも安全管理の方針が決まっていないと作業に着手することはできません。

ということはその前提として、安全管理(=コントロール)がターゲットとするリスクは抽出されていなければなりませんし、もっと言えば、リスクの発生を識別するための業務分析が実施されていなければならないということです。

これら全部をひっくるめて「E取扱規程等の策定」に押し込めてしまっているので、検討手順はシンプルになったものの、実際にプロジェクトのワーク&スケジュールに「リスク分析」を組み込める事業者は少なくなってしまった、ということになるのかと思います。

その結果が、中小規模事業者ではない規模の大きい事業者であっても、リスク分析をとばして、答えとなる安全管理措置を求める(基本方針、取扱規程のひな型を求める)姿が目立っていることにつながっているのでは、と思えてなりません。

Q&Aレベルに格上げ?

ところで平成27年8月6日に特定個人情報保護委員会から、問合せの多い事項について、考え方を整理し、ガイドラインに関するQ&Aとして追加がありました。

10:(別添)安全管理措置

Q10-2

事務取扱担当者には、特定個人情報等を取り扱う事務に従事する全ての者が該当しますか。

A10-2

事務取扱担当者は、一般的には、個人番号の取得から廃棄までの事務に従事する全ての者が該当すると考えられます。

ただし、事務取扱担当者に該当するか否かを判断することも重要ですが、当該事務のリスクを適切に検討し、必要かつ適切な安全管理措置を講ずることが重要です。例えば、担う役割に応じて、定期的に発生する事務や中心となる事務を担当する者に対して講ずる安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対して講ずる安全管理措置とが異なってくることは十分に考えられます。

なお、社内管理上、定期的に発生する事務や中心となる事務を担当する者のみを事務取扱担当者と位置付けることも考えられますが、特定個人情報等の取扱いに関わる事務フロー全体として漏れのない必要かつ適切な安全管理措置を講じていただくことが重要です。(平成27年8月追加)

(「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&Aの追加 【事業者編】10:(別添)安全管理措置より) ※太字は筆者による強調

正直「えっ?」と思いました。

このQ&Aは事務取扱担当者の明確化に関連したものですが、私の関心は「当該事務のリスクを適切に検討し、必要かつ適切な安全管理措置を講ずる」というフレーズ。

今さら、とも、やっぱり、ともとれてしまいます。

マイナンバーの各管理段階(取得、保管、利用、提供、廃棄・削除)における順守事項については、ガイドラインだけでは不十分で、特定個人情報保護委員会が公表しているQ&Aにかなり重要なことが盛り込まれています。

ですので、この回答の中に「リスク」という表現を加えた意図を推し測ってしまうのですが考えすぎでしょうか。