マイナンバー対策、「収集」「保管」「廃棄」の落とし穴（3/3 ページ）

[富樫純一，ITmedia]

保管や廃棄のトラブルを避ける方法は

　マイナンバーは、収集・保管するだけでなく、不要になったら迅速かつ確実に廃棄しなければならない。ガイドラインでは、復元できない手段で削除、廃棄することを求めており、この運用管理は非常に難しい。重要な人事・給与データを数世代にわたってバックアップしておくことは多いが、バックアップデータをリストアしただけで廃棄すべきマイナンバーのデータを容易に復元できてしまっては問題だ。

　場合によっては、マイナンバーが保管されていたメディアを物理的に破壊しなければならないこともあり、また、外部にマイナンバーを保管している場合は、委託先が確実にデータを廃棄したという証明書を発行してもらう必要があるだろう。

　こうしたマイナンバーの保管と廃棄に関するトラブルを招かないためには、クラウド型の収集サービスを利用するという手もある。しかし、こちらも利用に当たっては注意が必要だ。

　「今後、マイナンバーをワンタイムで保管するといった安価なクラウドサービスが登場すると予想されます。しかし、価格面だけでなくデータの保護／保全に必要な措置がきちんと講じられているか？　という点をしっかり確認しておくことが大切です」（岩上氏）

　また、保管方法にも工夫が必要になる。例えば、マイナンバーを保管するストレージ／データベースを完全に分離し、必要な書類にマイナンバーを利用するときだけ人事・給与システムなどと連携させるという方法もあると岩上氏は指摘する。もちろん、マイナンバーが保管されているストレージ／データベースは、普段は物理的にネットワークから遮断しておく。これにより、情報漏えいのリスクはかなり軽減されることになる。

　「従業員数が少なくマイナンバーの利用機会も年末調整くらいに限られる（主に小規模企業が該当）といった場合は『マイナンバーを利用するときにそのつど収集し、使い終えたら確実に廃棄する』というサイクルを繰り返すという方法も考えられます。決して一般的ではありませんが、常にマイナンバーを保管する場合と比べ、データ保護などの安全管理措置に関する負担を軽減できる可能性もあります」（岩上氏）

　マイナンバー制度への対応は、どの企業も避けて通ることはできない。しかし、マイナンバーの収集・保管・廃棄については、拙速に対応する必要もない。年末まで余裕を持ったスケジュールを策定し、マイナンバー制度への対応を進めるとよいだろう。