いよいよ始まったマイナンバー制度。「会社や薬局でマイナンバーの「取扱担当者」に任命された」「適切な管理体制を作るように求められた」という方もいるかもしれません。このコラムでは薬剤師が個人として、事業者として、マイナンバーをどう扱うべきかをお伝えします。マイナンバー制度の基本、薬剤師として必要な情報はここでチェック!
第2回 収集したマイナンバーを安全に保管するために
マイナンバーを収集したけれど、今後の運用までは考慮できていない、という状況になっていませんか? マイナンバーは利用できる範囲が制限されているだけでなく、収集から削除まで正しく保管・運用するために、安全管理措置を実施することが義務づけられています。
一方で、薬局のような事業者では従業員の数が少ないため、取り扱うマイナンバーの数も少なく、取り扱う担当者も限定されています。中小事業者には特例的な対応を行うことも認められていますので、安全に保管するために具体的に何をすればよいのかについて解説します。
一人に任せず、組織として対応する
組織としてマイナンバーを管理するために、マイナンバーを取り扱う担当者を明確にして、担当者以外がマイナンバーを取り扱うことがないようにします。また責任者を配置し、複数人でチェックできるような体制を作ります。
例えば、誤入力や誤封入、施錠忘れや誤操作といったヒューマンエラーを防ぐ意味でも、「2人以上でない場合は行わない作業」を決め、業務フローとして検討します。事務作業におけるチェックリストを作成し、チェックリストを確認・保存するという方法もあります。
他の従業員に対しても周知や教育を行うことはもちろんのこと、情報漏えいといった事案の発生を想定して、報告・連絡の体制を確認しておきましょう。
マイナンバーへの担当者以外のアクセスを防ぐ
マイナンバーの担当者以外による取り扱いや盗難を防ぐことを考えると、マイナンバーを扱う部屋を用意し、さらに入退室の管理を行えることが理想です。しかし、現実的には部屋を用意することは難しい場合も多いでしょう。薬局であれば壁やパーティションで分け、鍵のかかるロッカーに保存する、といった対策でも十分です。担当者以外による盗み見を防ぐために、座席の配置も工夫しましょう。
外部に持ち出す場合にも、紛失や盗難を防ぐ工夫を行います。置き忘れに気をつけるだけでなく、電子媒体を使う場合にはファイルにパスワードを設定することも一つの対策です。
求められる保管体制の整備
マイナンバーは必要がある場合に限り、保管し続けることができます。保管が認められるのは、以下のような場合です。
- 翌年度以降も継続的に雇用契約が認められる場合
- 所管法令によって一定期間保存が義務づけられている場合
逆に、上記の条件に当てはまらない場合は保管したデータを適切に削除することが求められています。定期的に廃棄や削除を行うため、年や年度ごとにファイリングする、メディアを分けて保管するなど、“廃棄”を意識した保管体制を確認しておきましょう。
パソコンを使うときの注意点
標的型攻撃や不正アクセスといった、外部からの攻撃によって情報が漏えいすることを防ぐために、確実な方法はネットワークを分離することです。例えば複数のコンピュータを準備し、マイナンバーを保管するコンピュータはインターネットに接続しないようにすれば外部からネットワーク経由で盗み出すことはできません。
どうしても複数のパソコンを準備できない場合は、ウイルス対策ソフトウェアの導入、使用しているソフトウェアを最新状態にする、といった一般的な対策に加え、マイナンバーなどのデータを暗号化し、パスワードで保護することが求められています。
同じパソコンを複数の担当者が使用する、ファイルサーバーに格納する、といった場合は他の担当者がアクセスできないように、ログイン認証を行い、フォルダへのアクセス権限を設定しておきましょう。
次回は「特定個人情報保護委員会のガイドライン」についてご紹介します。