第8回 もし、マイナンバー漏えい事故を起こしてしまったら：伊藤塾長の「実践マイナンバー 早わかり3分講座（緊急編）」

「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「起こり得る漏えい事故とその対策」です。

[伊藤健二＆大橋恵子（パイプドビッツ），ITmedia]

この連載は……

　2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

　本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。

塾長：伊藤健二（パイプドビッツ総合研究所 政策創造塾塾長）

パイプドビッツ総合研究所 政策創造塾 塾長／明治学院大学 学長特別補佐（戦略担当）。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。

進行と解説：大橋恵子（パイプドビッツ 経営ソリューション事業部長）

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。

大橋　前回まで、マイナンバーの管理に必要な安全管理措置対策について整理をしてきました。今回は、実際の利用場面を想定した際に起こりうる漏えい事故とその対策について整理していきたいと思います。

伊藤　情報漏えい事故が発生したら、実際にどうするか。2015年7月25日に特定個人情報保護委員会から出されたパブリックコメントと委員会の考え方がどのように整理されたか、基本的な部分を確認しましょう。

	特定個人情報保護委員会から出されたパブリックコメントと委員会の考え方
漏えい事案の発生・または番号法違反の事案または違反の恐れがある事案が発覚した場合の対応	次の事項について必要な措置を講ずることが望ましい。 （1）事業者内部における報告、被害の拡大防止 （2）事実関係の調査、原因の究明 （3）影響範囲の特定 （4）再発防止策の検討・実施 （5）影響を受ける可能性のある本人への連絡等 （6）事実関係、再発防止策等の公表
事業者が、特定個人情報に関する番号法違反の事案または番号法違反のおそれの事案を把握した場合	事実関係及び再発防止策等について、次のとおり報告するように努める。 （1）報告方法 　＜1＞主務大臣のガイドライン等において報告対象となる事案の場合 　　主務大臣のガイドライン等の規定に従って報告する。この場合、主務大臣等は、報告を受けた旨を特定個人情報保護委員会に通知する。 　＜2＞個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者で報告する主務大臣等を直ちに特定できない場合は特定個人情報保護委員会に報告する。 （2）報告の時期 　＜1＞速やかに報告するように努める。 （3）特定個人情報保護委員会への報告を要しない場合 　個人情報取扱事業者以外の事業者にあっては、次のすべてにあてはまる場合は、特定個人情報保護委員会への報告を要しない。 　＜1＞影響を受ける可能性のある本人全てに連絡した場合 　＜2＞外部に漏えいしていないと判断される場合 　＜3＞従業員等が不正に持ち出したり利用したりした事案ではない場合 　＜4＞事実関係の調査を了し、再発防止策を決定している場合 　＜5＞事案における特定個人情報の本人の数が100人以下の場合

大橋　上記はパブリックコメントではありますが、中小規模事業者に該当しない事業者ならば、情報漏えい事案が発生した、あるいはその恐れがある事案が発覚したら、「特定個人情報保護委員会への報告が必要」ということになりそうですね。

伊藤　ポイントは赤字にした箇所です。判断が難しいのは「外部に漏えいしていないと判断される場合」がどんな基準で該当するのかだと思います。

　特定個人情報保護委員会の考え方で示された事例では、「誤廃棄や番号法で定められている範囲以外で個人番号を利用した場合などが考えられる」とあります。

大橋　ちなみに、委員会の考え方で原案から変更が入った内容はありますか？

伊藤　赤字部分の「＜1＞影響を受ける可能性のある本人全ての連絡した場合」ですが、“本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む”という一文が追加されました。

大橋　いずれにしても、情報漏えい事故を発生させないことが最重要ポイントですね。

　しかし実際の現場の運用では、特に人的なミスによって情報漏えいは起こり得ます。

　例えば、「マイナンバーの記載された帳票を行政機関などへ持ち運ぶ際に、そのバッグを電車に置き忘れてしまった」などです。

伊藤　人の行動に依存する部分は、100％は防げません。ですから、マイナンバーを取り扱う上でのあるべき行動や心得を定期的に教育して「少しでも発生リスクを抑える取り組み」が実際の運用になります。

　上の例では、仮に後で帳票とバッグが発見されたとしても一時的には紛失した。つまり、その間に情報が第三者に見られていないという確証がない限り、漏えいした可能性があるとして公表する必要が出てくるでしょう。実際の判断は事業者において事案の内容をふまえて判断することとなりますが。

大橋　セキュリティに関する従業員教育の実施も対策の1つということですね。特に実際の場面では、「具体例」をもって行うとよいですね。

　例えば、「マイナンバーを記載した帳票などを持ち運ぶ際には、電車や喫茶店でもバッグは肌身離さずに持っていなければならない」といった感じでしょうか。

伊藤　そうですね。

　同じ一言でも、教育を受ける担当者がマイナンバーの漏えいリスクや場面を具体的に想像できるように工夫することが重要です。具体的に想像できれば、それ以外の場面にも対応できますから。

大橋　モノを落としたら、なくしたら……などは、本人もすぐ気がつくと思います。一方で、データはどうでしょう。インターネット経由で送信する際の誤送信などは、指摘されないと気がつきにくいかもしれません。

伊藤　例えば、ファイル転送サービスを利用する場合はどうでしょう。“完了しました”といった確認画面が表示されるでしょう。その確認画面を複数人でチェックするといった確認のフローを追加するだけでも、人的ミスによる漏えいリスクは軽減できるでしょう。常にそのような行動がとれるよう、会社として社内における取り扱いルールを担当者に周知徹底させるための体制を作ることが重要ですね。

大橋　やはり、漏えいの人的リスクを減らすには、定期的な教育が必要ということですね。

伊藤　その通りです。10月を迎え、準備を早く済ませた企業ではもうマイナンバーの収集作業が始まると思います。取扱担当者には、社内の取り扱いルールを周知徹底させる教育を行なってから収集を始めるようにしてください。

大橋　ありがとうございました。

　次回からは、セキュリティの専門家の方をお招きして、マイナンバーの収集から管理の過程における安全管理対策についてまとめていく予定です。

今回のおさらい

• 人的ミスによる漏えいリスク対策は、担当者への教育を繰り返し行うことです
• マイナンバーの収集開始前に、担当者に社内ルールを周知徹底させる教育を実施しましょう

マイナンバー実務に関わる最新情報

　2015年9月28日に、特定個人情報保護委員会より「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」に関する命令が交付されました

• 事業者における特定個人情報の漏えい事案等が発生した場合の対応について

＜Information＞マイナンバーセミナーのご案内

　パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

　詳細やお申込は＜こちら＞から。