マイナンバーの安全管理措置の構築を支援します

物理的安全管理措置の構築について

マイナンバーの安全管理において、特にコストがかかると予想されるのが物理的安全管理措置と技術的安全管理措置です。
そのため、事業者・団体の実情に合わせて、効率の良い設備等投資を行う必要があります。
また、マイナンバーをはじめとする特定個人情報の管理を紙媒体メインで行うのか、電子的なデータメインで行うのかによっても、これらの措置はかなり変わってきます。

番号法及びガイドラインにおいて、義務付けられている措置

物理的安全管理措置について、概要をまとめた一覧を掲載します。
中小規模事業者へ特例として認められた軽減措置については「中小規模事業者における特例」で説明します。

項目	内容
特定個人情報等を取扱う区域の管理	特定個人情報等の漏えい等を防止するために、特定個人情報ファイルを取扱う情報システムを管理する区域（以下「管理区域」という）及び特定個人情報等を取扱う事務を実施する区域（以下「取扱区域」という）を明確にし、物理的な安全管理措置を講ずる
機器及び電子媒体等の盗難等の防止	管理区域及び取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難または紛失等を防止するために、物理的な安全管理措置を講ずる
電子媒体等を持ち出す場合の漏えい等の防止	特定個人情報等が記録された電子媒体または書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる
個人番号の削除、機器及び電子媒体等の廃棄	個人番号関係事務または個人番号利用事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない方法で削除または廃棄する個人暗号もしくは特定個人情報ファイルを削除した場合には、削除または廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除または廃棄したことについて、証明書等により確認する

特定個人情報等を取扱う区域の管理

マイナンバー取扱事務に関与しない者等がマイナンバーに接近することを物理的に回避することで、情報漏えいの危険性を低減させる措置です。
この措置においては、ふたつの区域について理解する必要があります。

管理区域: 特定個人情報等ファイルを取扱う情報システムを管理する区域
（例）特定個人情報等ファイルが保存されたサーバの設置場所、紙媒体によるファイルが保管されている金庫の設置場所等
取扱区域: 特定個人情報等を取扱う事務を行う区域
（例）源泉徴収票作成事務を行っている経理課の区画等

このように「保管と利用」について明確に区分して安全管理措置を行うように要請しているのが、番号法及びそのガイドラインの特徴です。
このように管理区域と取扱区域を区別する理由はどこにあるのでしょうか。

ひとつめの理由は、マイナンバー取扱事務においてはその性格上、PCやコピー機など、容易にファイルを複製することが可能な機器を利用する機会が多くなることが挙げられます。
そのため、管理区域において不正な複製またはデータのマッチングなどが行われやすい状況を招いてしまいます。

ふたつめの理由は、マイナンバー取扱事務は複数の種類があり、その事務を取扱う担当者がそれぞれに異なっていることが少なくないことです。
異なる事務取扱担当者が同じ区域で作業すると、自身の取扱範囲ではない事務について目にする機会が増え、その分、情報漏えいの危険性が高まります。
こうした理由から、番号法では「保管と利用」の区域を明確に分ける措置を行うよう、要請していると考えられます。

なお、ガイドライン及びQ&Aにおいて、これらの措置に対して、以下のような項目を例示しています。

管理区域

管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域への持込む機器等の制限等が考えられる
入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる

取扱区域

取扱区域に関する物理的安全管理措置としては、壁または間仕切り等の設置及び座席配置の工夫等が考えられる
この座席配置については、事務取扱担当者以外の者の往来が少ない場所や、後ろからのぞき見される可能性が低い場所に座席配置をするなどの工夫等が考えられる

以上から分かる通り、入退室管理は管理区域にのみ要求されており、取扱区域においてはその実施が義務付けられているわけではありません。
しかし、そもそもオフィス内に予期せぬ者が立ち入ること自体、マイナンバーの安全管理という点では避けるべきことです。
そうなると、オフィスへの入退館については、記録簿等での管理を行い、管理区域についてはICカードやナンバーキー等による入退室管理を、そして取扱区域に関しては座席配置等の工夫により、関係者以外を物理的に遮断していくことが、管理方法の基本形として考えることができます。
加えて、管理区域、取扱区域には業務上許可されたもの以外、記録機能のついた機器や媒体の持込を禁止し、入退室時に所持品チェックを行うことも重要です。

機器及び電子媒体等の盗難等の防止

前述の措置により、マイナンバーをはじめとする特定個人情報等を扱う機器、電子媒体及び書類等は、管理区域か取扱区域内に存在することとなります。
そして更に、それらの機器、電子媒体及び書類等の盗難や紛失、損壊の可能性を物理的に防止するための措置を講じる必要があります。

番号法ガイドラインでは、それらの措置の手法として、以下のように例示しています。

特定個人情報等を取扱う機器及び電子媒体または書類等を施錠できるキャビネット、書庫等に保管する。
特定個人情報ファイルを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定すること等が考えられる。

この他にも、特定個人情報等が記録された機器、電子媒体または書類等の放置の禁止や、離席時の機器へのロック等も手法として挙げることができます。
その他、そもそもコピーが不可能な用紙への記録をすることで、紙媒体のコピーを物理的に防止することも考えられます。

当然、マイナンバーをはじめとする特定個人情報等の取扱いを紙媒体及び電子的記録の双方で行うとすると、物理的安全管理措置のコストが高くつくこととなります。

電子媒体等を持ち出す場合の漏えい等の防止

管理区域または取扱区域から特定個人情報等が記録された機器、電子媒体または書類等を持ち出す場合には、マイナンバーが容易には判別しないような措置を実施しなければなりません。
その上で、追跡可能な移送手段等の安全な方策を講じる必要があります。
ここでいう「持ち出し」とは、事業者・団体の外部に持ち出すだけではなく、管理区域または取扱区域の外へ、特定個人情報等が記録された機器、電子媒体または書類等を移動させることをいいます。
もちろん、マイナンバーの正当な利用範囲内での持ち出しに限られます。
また、従業員の扶養親族や取引先などからマイナンバーを収集してきた場合も、これに準じて漏えい等の防止の措置を行う必要があります。

番号法ガイドラインで例示されている手法は以下の通りです。

特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持ち出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等が考えられる。
ただし、行政機関等に法定調書を等をデータで提出するにあたっては、行政機関等が指定する提出方法に従う。
特定個人情報等が記載された書類等を安全に持ち出す方法としては、封緘、目隠しシールの貼付を行うこと等が考えられる。

この他にも、持ち出しする特定個人情報等を業務に必要最小限度のものに限定する、持ち出し時及び返却時の申請制と照合体制の導入、持ち出し状況の記録とその確認等を手法として挙げることができます。

個人番号の削除、機器及び電子媒体等の廃棄

個人番号関係事務、個人番号利用事務を行う必要がなくなり、所管法令によって定められた保存期間等を経過した場合には、マイナンバーをできる限り速やかに削除または廃棄しなければなりません。

実際にマイナンバーの廃棄または削除が可能な範囲

所管法令によって定められた保存期間内であれば、当該保存書類だけでなく、マイナンバー自体の保管もしておかなければなりません。
労働契約等の終了し、取扱う必要がなくなったマイナンバーは、廃棄または削除されるのが原則ですが、上記のような所管法令によって保存が義務付けられている書類等に関する分野では、マイナンバーを廃棄または削除してはいけないとされています。

マイナンバーの管理方法として、複数の目的ごと（例えば源泉徴収票作成事務と健康保険・厚生年金保険届出事務）で個別にファイルを作成するなどしている場合は、それぞれの書類の保存期限が終了した時点で、対応するファイルのマイナンバーを廃棄または削除する必要があります。
一方、全ての事務について一括して管理している場合は、全ての利用目的で利用して作成した書類等の保存期限が経過した時点で、マイナンバーの保管の必要性がなくなったと考えられるので、最長の保存期限が終了した時点で、マイナンバーを廃棄または削除する必要があります。

実際にマイナンバーを廃棄または削除して良いのはいつからか？

書類等の保存期限は、基本的には税務を基準として考えることができます。
一般的な税務関係書類の保存期間は７年ですので、この期間を基準とするべきでしょう。
ただし、繰越欠損金がある法人については、別途に更正期間が９年もしくは１０年とされている書類が存在しますので、注意してください。

いずれにせよ、このマイナンバーの時限管理は、安全管理措置の中でも特に負担の大きな部分となります。
軽減する方法としては、契約が終了した時点でマイナンバーや特定個人情報を「時限管理ファイル」へ移動し、事務に利用するファイルからは廃棄または削除をしてしまいます。
その後、時限管理ファイルの保存期間が経過してから、ファイルごと廃棄または削除を行うという方式等が考えられます。
もちろん、その都度の移転の履歴は、しっかり記録しておく必要があります。

番号法のガイドラインでは、以下の手法を例示しています。

特定個人番号等が記載された書類等を廃棄する場合、焼却または溶解等の復元不可能な手段を採用する
特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用または物理的な破壊等により、復元不可能な手段を採用する
特定個人情報ファイル中の個人番号または一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する
特定個人情報等を取扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした手続を定める
個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定める

具体的な廃棄または削除の方法

なお、ここでいう「容易に復元できない手段での廃棄」とは、データ復元用のソフト等を用いなければ復元できないレベルが要求されています。
データ消去ソフトなどの活用も考えられるでしょう。
機器類については、完全な破壊などを行うことが望ましでしょう。
参考までに、ハードディスクをドリルで破砕した場合は、ほぼ情報の復元が不可能となります。

書類等に関しては、焼却または溶解の他、復元不可能な程度に細断可能なシュレッダーの利用や、マイナンバー部分に復元不可能な程度のマスキングを行うこと等をいいます。

このようにして廃棄または削除を行ったことについては、必ず記録を残してください。
その際の記録に、マイナンバー自体の記載をしてはいけません。
記録の内容としては「特定個人情報ファイルの種類・名称、責任者・取扱部署、削除・廃棄状況等」が例示されています。

また、削除・廃棄について委託を行った場合は、削除・廃棄が確実に行われたことを証明書等で確認する必要があります。
委託先でのマイナンバーの取り扱いについては「マイナンバー対策実務｜委託編」をご参照ください。

中小規模事業者における特例

中小規模事業者においては「電子媒体等を持ち出す場合の漏えい等の防止」及び「個人番号の削除、機器及び電子媒体等の廃棄」について、以下のように措置の軽減特例が認められています。
特に個人番号の削除、機器及び電子媒体等の廃棄」については、特定個人情報等の廃棄または削除についての責任者（個人番号取扱事務責任者等が候補となります）が確認すれば良い、とされており、廃棄または削除したことの記録を保存することまでは求められていない点が大きく異なっています。
しかし中小規模事業者といえども、委託先でのマイナンバーの廃棄または削除については、確実に行われたことについて証明書等で確認をしなければなりません。

電子媒体等を持ち出す場合の漏えい等の防止

特定個人情報等が記録された電子媒体または書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失、盗難等を防ぐための安全な方策を講ずる

個人番号の削除、機器及び電子媒体等の廃棄

特定個人情報等を削除・廃棄したことを責任ある立場の者が確認する