マイナンバーの安全管理措置でもっとも重要なのは、人的安全管理措置です。

人的安全管理措置の構築

マイナンバーをめぐる安全管理措置のうち、ある意味もっとも重要なのが、この人的安全管理措置であると言えます。
たしかに、全てのミスを人的な問題に理由づけることは不合理であることもあります。
ですが、問題発生を未然に防ぐのも、起こってしまった問題の被害拡大を防ぐのも、全て人的な要因に依るところが大きいことも、事実です。
本ページでは、そうした人的安全管理措置について、解説していきます。

情報漏えいの事案の多くは、人的なミスによるものであることが多い

どれだけ立派なセキュリティ体制を構築していても、それを管理運用する人にミスがあれば、全く意味がありません。
だからこそ、人的安全管理措置が重要となるのです。
また、人的安全管理措置は必要なコストが他の措置に比べて低めでありながら、その効果がもっとも大きなものです。
その上、実際に人が関わる分、効果や結果が目に見えやすく、評価や見直しが容易なものでもあります。

そうした性質である以上、コストを抑えて確実な安全管理措置を構築するのであれば、人的管理措置を重点的に行うと良いでしょう。
なお、人的安全管理措置には、中小規模事業者に対する軽減の特例は認められていません。
中小規模事業者といえども、他の事業者・団体と同様のレベルで安全管理措置を行うことが求められています。

人的管理措置として求められる内容

番号法及びガイドラインで要求されている内容は、以下の通りです。

個人番号事務取扱担当者の監督

事業者は、特定個人情報等が取扱規程等に基づき適正に取扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う

個人番号事務取扱担当者の教育

事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う

監督の内容について

事業者・団体による監督については、基本的にマイナンバー及び特定個人情報の秘密保持について、情報提供並びに秘密保持契約の締結をもって行うことになります。

就業規則等の定め及び内容の周知

番号法ガイドラインでは、監督内容の例示として就業規則などへの定めを挙げています。
確かに、就業規則にマイナンバー関連の規定を盛り込むことは、有効であると考えますし、万全を期すのであれば、当然行うべきことではあります。
ですが、就業規則に定めたところで、その内容が事務取扱担当者及び従業員に周知されなければ、意味がありません。
果たしてご自身の就業規則について、従業員はきちんとその中身を把握しているでしょうか。

それよりも、マイナンバーの取扱について作成した取扱規程内で、きちんとした規定を置くべきです。
取扱担当者が変更になった場合、就業規則に定めを置いているから、周知は済んでいるはず、という認識になることを避けなければいけません。
「就業規則に規定しているのだから、当然知っているだろう」という認識は、この場合、管理側の怠慢でしかありません。
そうした認識に流されないよう、マイナンバーの取扱いについては、就業規則として作成するのではく、取扱規定として作成するべきであると考えます。

秘密保持契約の締結

従業員と秘密保持について契約を締結するのも、有効な手段です。
契約は原則として、その内容をきちんと把握して合意をした上でなければ締結できませんので、マイナンバーの取扱いについて、より周知を徹底することにつながります。
この秘密保持契約では、秘密事項の内容を鑑みると、雇用契約が終了したのちにも一定期間は有効であるように規定することが望ましいと考えます。

罰則について

秘密保持義務を違反したことをもって損害賠償請求を行うことは可能です。
しかし、労働契約における「懲戒（減俸を含む）」や「解雇」を行おうとするのであれば、就業規則内にその旨を追加する必要があります。
なお、もともと類似の規定がある場合はその限りではありません。
そのあたりの適否については、専門家の判断を仰ぐべきでしょう。
なお、就業規則の変更には法に則ったが必要です（労働基準法８９条、９０条）。

取扱担当者の報告と評価制度

そのほか、取扱担当者について、事務についての報告と評価についての制度を構築・運用することも重要です。
実際、いくら紙の上での義務を設定しても、運用がずさんでは意味がないのです。
そのためにも、取扱責任者においては組織的安全管理措置で定められた自身の職責を全うするために、マイナンバー取扱事務について、報告とそれに対する評価付けが可能な体制を構築する必要があります。
これについては「組織的安全管理措置の構築」もご参照ください。

教育の内容について

重要な情報を取扱っているという自覚を促すためには、やはり繰り返しのアナウンスと研修がもっとも重要です。
また、制度自体が新しいため、取扱担当者やその他の従業員においても知らないうちに法令違反を犯していたり、安全管理措置を無視するような状況になることも考えられます。
それを防ぐためにも、事業者・団体内部での研修は非常に重要なウェイトを占めています。

従業員らに対する研修の実施及び実施の確認

マイナンバー制度についての研修は、採用時だけではなく、その後も定期的に行われることが重要になります。
特に従来の個人情報保護とは、質的に異なるものであるにもかかわらず、それと類似のものとして取扱ってしまうことを避けるためにも、重ねての研修は重要です。

番号法ガイドラインでは事務取扱担当者の教育が、例示としてあげられていますが、実際に制度を運用する上では、一般従業員にも無関係な話ではありません。
加えて、取扱責任者においても、特定個人情報の重要性について認識させるためにも、研修が必要です。
結論として、その立場に応じた内容の研修を、定期的に行うことが要請されていると考えてよいでしょう。

行政書士やまのそうま法務事務所では、従業員に対するマイナンバーの出張研修についても対応しております。
ぜひお気軽にお問い合わせくださいませ。

メールで問い合わせ

研修で行われるべき内容の例

全従業員共通

• マイナンバー制度の概要
• 基本的なマイナンバーにおける禁止事項（本人の同意の有無にかかわらず、目的外での利用・収集・提供の求めの禁止）
• 事業者・団体内部での安全管理措置の取組み
• マイナンバーについての相談窓口の周知

事務取扱担当者

• 取扱規定等の概要説明
• 組織的・人的・物理的・技術的安全管理措置の運用について
• 個別の事務におけるマイナンバーの取扱いの状況
• マイナンバーの利用・管理・保管・廃棄についての具体的な方法
• マイナンバー取扱事務の委託について
• 情報漏えい等の事案が発生、もしくは兆候が把握された時の対応について

事務取扱責任者

• 安全管理措置全体の概要
• 安全管理措置の運用状況の監督について
• 安全管理措置の運用評価・見直し計画作成について
• 委託先の管理について
• 情報漏えい等の事案についての報告がなされた際の対応について

中小規模事業者ほど、人的安全管理措置を重点的に行うべきである

マイナンバーに対応する体制を整えるために、設備に投資する余裕がないという事業者・団体であればあるほど、人的安全管理措置を重視することで、効率よくマイナンバーの安全管理が可能となります。
ネットワーク環境のセキュリティをエンジニアに委託するのも、事業所に監視カメラ等の記録施設を整備するのも莫大な費用がかかりますが、人の教育はそれよりも安く済みます。
それでいて、情報漏えいの大きな部分を占める人的ミスを軽減できるのですから、これよりもコストパフォーマンスが良い安全管理措置は、他にありません。
マイナンバーの安全管理措置を低コストかつ確実性を高めたいのであれば、人的安全管理措置にこそ、コストをかけるべきであると考えます。

繰り返しになりますが、いかに素晴らしいシステムを構築していても、結局はそれを運用するのは人です。
これまでの情報漏えい事案を振り返っても、人的なミスが目立ちます。
また、ミスを糊塗するために報告が遅れたため、対応が間に合わず、結果的に被害が拡大した事案も少なくありません。
従業員やその家族、そして取引先が安心してマイナンバーの取扱いを任せられるよう、事業者・団体内でのマイナンバー教育に力を入れましょう。

行政書士やまのそうま法務事務所は、そんな事業者・団体の皆様の支援をいたしております。