PR

3.プライバシー影響評価でリスクをチェック

 以上が、マイナンバーを提供・委託する際の注意点である。余力のある読者は、マイナンバー提供・委託時のリスクについて「プライバシー影響評価(特定個人情報保護評価、PIA)」の考え方に基づいてチェックしてみよう。

 プライバシー影響評価では、個人情報の取り扱いフェーズごとに、起こり得るリスクを考え、リスク防止のための対策を検討する。起こり得るリスクにはさまざまなものがあるが、典型的なリスクとして、提供・委託の場面では(1)不正提供、(2)不適切な方法による提供、(3)間違った提供、(4)委託先の不正が挙げられる。

(1)不正提供リスクへの対策

 違法・不当な提供が行われるリスクに対する方策を講じ、正当な提供のみが行われるよう、会社として不正提供を防止していこう。そのためには、いつ誰が誰にどうやってマイナンバーを提供するかを洗い出し、マイナンバー取扱規程に明記するとよいだろう。従業員に、提供してもよい相手先、提供方法、提供タイミングを明示しよう。

 またいつ誰が誰にどうやって提供したかといった記録を取り、定期的に上司がチェックする。記録というと面倒くさい印象もあるかもしれないが、マイナンバーが社外に出ていく場面を会社としてきちんと把握していないと、知らない間に社外に出てしまっていたという最悪の事態にもなりかねない。従業者を監督するという意味からも、マイナンバーが社外に出ていく場面を記録しよう。

(2)不適切な方法による提供リスクへの対策

 不適切な方法は、安全でない方法などで個人情報を提供してしまうリスクである。官(税務当局・ハローワーク)への提供は、官が指示する提供方法に従うこととする。それ以外の提供は、システムであれば暗号化や専用線、書面であれば封緘(ふうかん)や書留などを利用し、安全な方法で提供していく。

(3)間違った提供リスクへの対策

 間違った提供とは、提供する相手先を間違えたり、提供する情報を間違えたりしてしまうリスクである。難波舞さんに渡すマイナンバー情報を、番号太郎さんに渡してしまうことなどがないよう、ダブルチェックなどにより確認を徹底していこう。

(4)委託先の不正リスクへの対策

 委託先の不正は、委託先がマイナンバーの不正取得、不正利用、不正再委託、不正提供、不正管理、不正廃棄などを行うリスクである。委託先におけるマイナンバー取り扱い体制を確認する、マイナンバーファイルの閲覧者・更新者を具体的に制限する、マイナンバーの取り扱い記録の作成・提示を求める、マイナンバーの提供ルール・消去ルールを取り決める、契約の内容や再委託の扱いを適切にするなどにより、委託先の不正を防止する。