「個人事業主」が感じている、企業のマイナンバー対策への懸念(2/3 ページ)
企業のマイナンバー対応実務がいよいよ始まる。制度対応の準備はそれぞれ進んでいるはずだが、収集される側となる「個人事業主」は、企業のマイナンバー対策をどう思っているだろうか。
どのタイミングで「削除」してくれるのでしょう
ある企業と取り引きが完了し、その後いっさい取り引きがなくなったとします(私の経験上、たった一回だけお仕事を行うだけで終わってしまう取引先も多いです)。この場合、どのタイミングでマイナンバー情報が削除されるのでしょう。ここは、個人事業主としてかなり重要です。支払調書の控えとともにマイナンバー情報も削除されずに保管され、とうに忘れた数年後に漏えい事故が――。そんなリスクです。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」のガイドラインQ&Aによると、法定保存期間が定まっている帳票類のほかに、保存義務のない支払調書の控えの取り扱いについても最長で7年間の保管を認める内容となっています。
マイナンバー法では、「特定個人情報は法律で限定的に明記された事務を行う必要がある場合に“限って”保管できる」とされていますが、保存義務がない支払調書にの保管期間は「確認の必要性及び特定個人情報の保有に係る安全性を勘案し、事業者において判断せよ」と企業にその判断を委ねています。マイナンバー情報は目的が済めば「速やかに消去ないし廃棄しなければならない」のですけれど、帳票や企業の判断に応じてかなり長期間保管される可能性もあるわけです。
フリーランス業務としてはふと数年後に仕事をいただくこともあるので、“いつ、完全に取り引きが終わったのか”まで覚えていることはほとんどありません(こちらは以後、自身で対策する余地があります)。しかし、取引先の企業側でこの認識が甘いと、ズルズルといつまでも保管・保持されてしまうことに……。ここがきちんと定まっていないと不安です。
今後、個人事業主は企業にマイナンバーを知らせるとき、「万が一の漏えい時、マイナンバーの変更プロセスはどうなっているか」「破棄されるタイミングはいつか」についても確認するといいでしょう。この回答次第で、企業のマイナンバー対策の意気込み/対策度合いが分かります。
そして企業は、個人事業主からのこの問いに確実に答えられなければなりません。
個人事業主の「マイナンバー」を、どれだけ大事に扱ってくれるのか
もう1つ気になっていること。それは、マイナンバーの「収集方法・手段」です。
ご存じのように、「eメール」という手段は送信、受信ともに大変簡単ですが、盗聴やなりすましを完全に排除できる仕組みにはなっていません(もちろん、S/MIMEなどの暗号化を併用する手段もありますが、一般的と言えるほどまでの普及には至っていません)。マイナンバーを含めた特定個人情報をメールで通知するのは避けるべきです。そうなると、個人事業主がマイナンバーを通知するための仕組みがきちんと作られているかも、当然ですがマイナンバーを預ける側として気になります。
多くのアウトソース型マイナンバー関連サービスやソリューションでは、収集業務のための「Webツールやアプリ」を用意し、かつその多くは「スマホにも対応」とするものが多いです。マイナンバー番号通知カード+運転免許証(本人確認書類)、あるいは2016年1月より自己申請で交付を受ける個人番号カードをスマホのカメラで撮影し、専用のセキュアサイトあるいはアプリで登録。ガイドラインの定める安全管理措置に沿った方法でマイナンバーを安全に、確実に、そして手間を取らせずに登録できるといった仕組みです。
中には確実を期すために郵送・宅配便(返信キットとともに)のアナログな手段を取る企業もあると思いますが、PCやスマホが普通に使える人ならば、手間なく作業できるWebツール型の仕組みは個人事業主としても好ましいと言えます。
そこで、このような収集ツールを用意した企業に気を付けてほしいことがあります。従業員の場合と同様に、個人事業主もその仕組みに乗る形で、「打ち合わせで来社したときに、これで入力してください」などと対面での入力を求める運用を想定していると思います。番号を入力し、本人確認のために内蔵カメラで番号確認(通知カード)と本人確認(運転免許証など)の書類を撮って登録するといった作業です。
社内では「安全を期したマイナンバー収集専用端末」として当たり前であっても、社外の個人事業主としてはその端末がナニモノか分かりません。このため、その端末に別途写真データとして保存されてしまっていないか、それが別のクラウドストレージなどへにアップロードされていないか、キャッシュのクリアが確実に行われているか、などが心配になります。
以前、ある通信事業者で店頭窓口の共用端末を使って個人情報などの登録を行った際に、作業終了後、感心するくらいにきれいにその痕跡を目の前で消してくれたことがありました。
企業におけるマイナンバーの取り扱いも同じではないでしょうか。そういった心理的な不安を取り除くちょっとした配慮も必要と言えます。
関連記事
- 特集:間に合わせる、その後も見据える「マイナンバー緊急対策 実践指南」
2016年1月に利用が始まる「マイナンバー(個人番号)制度」。すべての企業は、このマイナンバーに社として対応する必要が迫られています。「マイナンバーとは何か?」の基本解説とともに、企業のIT担当リーダーが抱える課題に特化し、実対策と実導入・導入に向けた具体策をまとめていきます。 - 「モバイル端末に保存された個人情報」に一番興味がないのは誰?
大手キャリアからMVNOへのMNPで感心することがありました。個人情報がたくさん保存されたスマートフォンやタブレットでは気を付けたいことがたくさんあるのです。 - マイナンバーカードの「裏」
2016年1月から公布される「個人番号カード」、基本4情報に加えて顔写真までついて運転免許証よりも取得ハードルの低い身分証明書だね。と思っていたら大きな落とし穴がありますよ。 - 第8回 もし、マイナンバー漏えい事故を起こしてしまったら
「具体的に何をすればいいのか」と模索する企業の担当者へ向け、やることをスッと理解できるマイナンバー実務Tips。今回のテーマは「起こり得る漏えい事故とその対策」です。 - マイナンバー法改正案、今国会で成立見通し
マイナンバー法改正案が今国会で成立する見通しがついた。年金機構の情報漏えい事件を受けて、審議が止まっていたが、基礎年金番号システムとマイナンバーシステムの接続を当面延期する方向で調整する。 - マイナンバー「個人番号カード」、職場で一括申請可能に
政府が「個人番号カード」の追加交付方法を追加。市区町村の窓口へ個人が出向く方法に加え、職場で一括申請できる方法も追加する。 - 年金機構の情報漏えい、事故対応のミスで被害拡大と報告
調査報告ではセキュリティ担当者が標的型メール攻撃の可能性を感じながらも、組織的なインシデント対応が不十分だったことが被害拡大につながったと指摘している。 - マイナンバー法改正案、採決当面見送りへ 年金機構の漏えい事件影響
先日衆院を通過したマイナンバー法改正案の採決が当面先送りになることが分かった。 - マイナンバー法改正案が衆院可決 預金口座にも適用
マイナンバー法改正案と個人情報保護法改正案が衆議院で可決。2018年より預金口座や予防接種の記録なども対象になる。2015年6月に成立する見通し。 - 年金情報125万件流出 年金機構に不正アクセス ウイルス入り添付ファイル開封が原因
年金機構が不正アクセスを受け、基礎年金番号など125万件が流出。メールに添付されていたウイルス入りファイルを開いたことが原因とみている。 - マイナンバーは予定通り実施、甘利大臣が再度明言
年金分野へのマイナンバー利用については見直す考えを示した。
Copyright © ITmedia, Inc. All Rights Reserved.