*2014年12月11日に確定したガイドラインが公表されています。「特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方」の一部は、Q&Aとしてガイドラインとともに公表されています。以下の記事内では用語等の一部訂正を実施しました(12月22日)
今回のテーマは、番号法上の保護措置及び安全管理措置について各論として解説されている項目の「収集・保管制限」のうち、「廃棄」をとりあげます。ガイドライン案(事業者編)と同時に公表されている、「特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方」を引用をしながら解説します。
廃棄
番号法では、個人番号を利用する事務を処理する必要がなくなり、所管法令で定められた保存期間を経過した場合には、個人番号をできるだけ速やかに、復元できない手段で廃棄又は削除しなければならないとしています。
先に進む前に、今回の「収集・保管制限」のうち「廃棄」について、前回同様、安全管理措置の各管理段階(プロセス)に位置づけて確認してみましょう。
それでは以下、「廃棄」について、ガイドラインの概要と質問および考え方をみていきます。
手段とタイミング
ガイドラインでいう「個人番号を利用する事務を処理する必要がなくなり、所管法令で定められた保存期間を経過した場合には、個人番号をできるだけ速やかに、復元できない手段で廃棄又は削除しなければならない」とある中で、最初に気になるのが、次の2つです。
- できるだけ速やかに
- 復元できない手段で
できるだけ速やかに
できるだけ速やかにとはどのぐらいを指すのか、参考になる質問と考え方が次になります。
(質問)
個人番号(死者の個人番号を含む。)は、どのような場合に廃棄する必要がありますか。また、個人番号の廃棄が必要となってから、廃棄作業を行うまでの期間は、どの程度許容されますか。
(考え方)
個人番号の廃棄が必要となるのは、個人番号を利用する事務を処理する必要がなく、また、所管の法令において定められている保存期間を経過した場合となります。
廃棄作業の期間につきましては、毎年度末に廃棄を行うなど、特定個人情報・個人番号の保有に係る安全性及び事務の実効性等に基づきご判断下さい。
廃棄作業そのものは毎年度末など定期的また一括で実施すれば良いみたいです。
この「できるだけ速やかに」ということを踏まえて、いくつか「削除又は廃棄すべきタイミング」が問題になることがあります。これに関連した質問と考え方をみておきます。
複数目的で利用している個人番号
(質問)
個人番号の利用が想定される複数の目的について予め特定、通知等した上で個人番号を取得している場合、当該複数の目的の全てについて個人番号を保管する必要がなくなったときに、個人番号を廃棄すれば良いですか。
(考え方)
複数の利用目的を特定して個人番号を取得している場合、事務ごとに別個のファイルで個人番号を保管しているのであれば、それぞれの利用目的で個人番号を利用する必要がなくなった時点で、その利用目的に係る個人番号を個別に廃棄又は削除しなければなりません。
一方、例えば、個人番号をまとめて一つのファイルに保管しているのであれば、全ての利用目的で個人番号関係事務に必要がなくなった時点に廃棄又は削除すれば良いと考えられます。
個人番号を保管している形態(事務ごとに別個のファイルなのか、まとめて一つのファイルか)によって異なるということです。
賞与を退職後に繰延支給する場合
退職後も個人番号を保管しておくケースについてです。
(質問)
支給が数年に渡り繰延された賞与がある場合、退職後も繰延支給が行われなくなる事が確認できるまで個人番号は保管し、支給されなくなる事が確認できてから削除することを考えていますが、問題はありますか。
(考え方)
退職後に繰延支給される賞与が給与所得に該当し、法定調書の提出が必要な場合には、繰延支給が行われなくなることが確認できるまで個人番号を保管することが可能であると解されます。
時限管理回避や非表示による保管の是非
(質問)
個人番号の削除を行うに当たり、次のような取扱いはできますか。
- 保存期間の時限管理を回避し、取引終了時点で削除する。
- 個人番号を削除せず、取引再開時まで非表示とする。
(考え方)
①について
法令により保存が義務付けられているものは許容できないと考えられます。
②について
個人番号を保管する必要がなくなった場合には、容易に復元できない手段により個人番号を削除しなければなりません。不確定な取引再開時に備えて、個人番号を非表示にして保管し続けることはできません。
いずれにせよ、不要になった場合に削除しやすいようなシステムを構築することが望ましいと考えられます。
個人番号の時限管理をどのように行うのかは実務上の課題ですね。システムで管理している場合は保存期間を登録して、期間終了時に自動的にフラグを立てたり、レポートやアラートを出すことも考えられます。
復元できない手段で
個人番号を容易に復元できない手段で削除又は廃棄する具体的な手法について、ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」では、次のように例示をあげています。
- 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
- 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
- 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
- 特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
- 個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした
保管手続を定める。
中小規模の事業者や委託先では属人的な管理に依存してしまうこともあるかと思いますが、それによって削除又は廃棄漏れのリスクも高まると思われます。
なお、ガイドラインでは、個人番号部分を復元できない程度にマスキング又は削除した上で保管を継続することは可能とされています。おそらく、個人番号の保管方法によりますが、個人番号を含む特定個人情報について、個人番号以外の情報をその他業務で使用していることもあることを踏まえていると思われます。
削除又は廃棄の記録
最後にもう一つ削除又は廃棄の記録について触れておきます。
ガイドラインの別添資料では、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することを求めています。
当該作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認をします。
これに関連する質問と考え方をみておきます。
(質問)
個人番号を削除した場合に、削除の記録を残すことが必要ですか。
(考え方)
事業者ガイドラインの別添「特定個人情報に関する安全管理措置」において、個人番号を削除した場合は、削除した記録を保存することとしています。なお、その削除の記録の内容としては、特定個人情報ファイルの種類・名称、責任者・取扱部署、消去・廃棄状況等を記録することが考えられ、個人番号自体は含めないものとしています。
これも忘れずに対応しなければいけない点です。
注:本記事は私個人の備忘録もかねています。今後、更新・追加されるガイドラインやFAQなどによって適宜内容は加筆・修正していきます。実務への適用にあたっては、関連する法令・ガイドラインなどの公表物をご自身でもチェックをお願いします。