マイナンバー 税理士の先生が考えるべき対策とは vol.4 <保管 & 安全管理>
個人番号 保管に関するルール
個人番号を取得する場合には利用目的を明示し本人確認を行うというルールがありますが、取得した個人番号を保管する場合にもルールがあります。
個人番号の保管に関するルールは、利用目的となる事務を行う必要がある場合に限り保管し続けることができるというものです。逆に言えば、利用目的となる事務を行う必要がなくなれば保管し続けることはできなくなりますので、その場合は速やかに保管していた個人番号や個人番号を含む特定個人情報を廃棄しなければならないというルールも定められています。
年末調整業務で税理士事務所が個人番号の取扱いを委託されている場合、通常事務所のコンピュータへ個人番号を登録、保管することになりますが、顧問先とその従業員とが雇用契約により継続的な雇用関係にある場合は、翌年以降も継続的に個人番号を利用する必要性が認められますので、継続的に保管することも認められることになります。
個人番号の取扱いで求められる安全管理措置
個人番号の取扱いで、個人番号の漏えい、滅失又は毀損の防止のために求められる安全管理については、<委託>の項でも基本方針や取扱規定の策定についてふれましたが、それらを定めた上で、さらに必要となる安全管理措置があります。「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報保護委員会:ガイドライン)では、以下の4つの措置が掲げられています。
(1) 組織的安全管理措置
(2) 人的安全管理措置
(3) 物理的安全管理措置
(4) 技術的安全管理措置
組織的安全管理措置では個人番号に係る事務における責任者の設置及び責任の明確化や事務取扱担当者及びその役割の明確化などが求められ、その上で取扱規定等に基づく運用や実際の取扱状況を確認できるようにする手段の整備などの措置が必要となります。
人的安全管理措置では、事業者は事務取扱担当者の適切な教育、監督を行うこととされています。
物理的安全管理措置では特定個人情報を取り扱う区域の管理や機器および電子媒体等の盗難等の防止などに安全管理措置を講じることなどが求められています。
技術的安全管理措置では情報システムを使用して個人番号を取扱う場合、アクセス者の識別と認証をもとに適切なアクセス制御を行うことなどが、求められています。
税理士事務所でこれらの安全管理措置を講じる場合、(1)、(2)については事務所内で取り決めるべきことを決め、準備、実施していくことになります。また、ほとんどの税理士事務所で税理士業務についてはコンピュータが利用されていることから、(4)については利用されているベンダーの対応にその多くを委ねることになります。
個人番号の保管と物理的安全管理措置
では、(3)についてはどのような対応が必要となるか、税理士事務所が事務所内に設置するサーバーやパソコンで個人番号を保管するケースを前提にガイドラインの内容を詳しく見てみましょう。
ガイドラインでは個人番号を取扱う情報システムを管理する区域を「管理区域」とし、個人番号を取扱う事務を実施する区域を「取扱区域」とし、それぞれの物理的安全管理措置の例示をしています。「管理区域」の場合は、管理区域への入退室の管理をICカードやナンバーキー等により行うことなどが示されています。「取扱区域」の場合は、壁又は間仕切り等の設置及び座席配置の工夫(取扱担当者がパソコンで個人番号の取扱いを行う場合その画面が覗き見される可能性が低くなるように座席を配置するなど)などが示されています。さらに機器および電子媒体等の盗難防止についても物理的安全管理措置が例示されており、個人番号の保管が外部の電子媒体で管理されている場合は、施錠できるキャビネットや書庫等に保管することとされています。個人番号がサーバーやパソコン等の機器に保管されている場合は、セキュリティワイヤー等により固定することが例示されています。
税理士事務所の現実を考えると、年末調整業務はほぼすべての職員が業務に携わることから、すべての職員を事務取扱担当者とし、事務所の事務作業領域すべてを、「管理区域」、「取扱区域」として安全管理措置を講じることも考えられますが、この場合でも、来客スペースとの区切りを今以上に厳格にするなどの対応が必要となります。また、事務所内のコンピュータ機器に個人番号を保管する以上は、機器や電子媒体の盗難防止対策は必須となります。
税理士事務所では、もともと顧問先の大事な会計や税務等のデータを取扱っていますので、以前から上記のような安全管理に配慮はされてきたことと思いますが、マイナンバー制度により個人番号を事務所内に保管することになると、コンピュータシステムに係る安全管理に対する負荷は確実に従来より大きくなります。
当社では個人番号の保管というシーンでも、クラウドのメリットを活かした事務所内に個人番号を「持たない」仕組みを構築して、マイナンバー制度で税理士事務所にかかる負荷を徹底して軽減いたします。
