今年ももう7月ですね。

マイナンバーが全国民に通知されるのは、今年10月の予定となっています。

みなさんの職場等でも、マイナンバーの関心が非常に高まってきているのではないでしょうか。

 

マイナンバーを含む個人情報のことを「特定個人情報」と言いますが、

この特定個人情報の適正な取扱いのために4つの安全管理措置が求められている、

というお話は前回までのとおりです。

 

安全管理措置自体は、個人情報保護法で定められているものです。

個人情報保護法では「個人情報取扱事業者」がこの措置を講じることになっています。

「個人情報取扱事業者」は、保有する個人情報が合計5,000件以下の事業者が除外されています。

 

ですがマイナンバー制度が運用される場合、そのナンバーをもとに重要な情報等がより収集されやすいリスクがあることから、

個人情報保護法よりも厳しい保護措置を番号法でさらに規定しています。

この安全管理措置を講じる必要がある事業者も、特定個人情報を取り扱うすべての事業者、

つまり従業員等のマイナンバーを一人以上取り扱う事業者すべてに拡大されているので注意が必要です。

 

とはいえ、すべての事業者が大企業のように大がかりなシステム化・規程等整備をしていくには負担が多すぎる場合も多いでしょう。

 

そこで、中小規模事業者には「これだけは」という押さえるべきポイントが特例として決まっています。

 

ここでいう「中小規模事業者」とは、従業員数が100人以下の事業者で、以下の事業者を除くものです。

・個人番号利用事務実施者

・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者

(給与計算等の代行業者、社会保険労務士事務所、税理士事務所など)

・金融分野の事業者

・個人情報取扱事業者

 

以下、中小規模事業者の安全管理措置を見ていきましょう。

 

1.組織的安全管理措置

(1)組織体制の整備

事務取扱担当者の明確化と、担当者が複数いる場合に責任者・事務取扱担当者を区分することが望まれています。

 

(2)運用状況の確認/取扱状況の確認

マイナンバーやマイナンバーを含む特定個人情報の取扱状況が分かるよう、記録を保存しておきます。

 

(3)情報漏えいへの対応

従業者から責任者への報告連絡体制をあらかじめ確認しておく必要があります。

 

(4)評価と見直し

マイナンバー・特定個人情報の取扱状況を把握し、安全管理措置の評価や見直し、改善に取り組むことが求められます。

 

2.人的安全管理措置

事務取扱担当者に対しての適切な監督や教育、マイナンバー制度についての従業員への教育などが必要です。

 

3.物理的安全管理措置

(1)区域の管理

特定個人情報ファイルを取り扱う情報システムの管理区域と、マイナンバー・特定個人情報を取り扱う事務取扱区域を明確にします。

座席の配置や入退室管理の方法などで対応する必要があります。

 

(2)盗難防止

書類等を鍵付きキャビネットに保管する、特定個人情報ファイルを取り扱うPCをセキュリティワイヤー等で固定するなど、

盗難・紛失を防止するための物理的な措置を講じます。

 

(3)持出し時の漏えい防止

特定個人情報ファイルにはパスワードを設定する、書類や電子媒体などは封筒にしっかり封入し鞄に入れて持ち出す等、

外での盗難や紛失を防ぐ措置が必要となります。

 

(4)削除・廃棄

従業員の退職等により利用しなくなったマイナンバーは、シュレッダーなどの修復不能な方法で削除・廃棄する必要があります。

その際、きちんと削除・廃棄したことを責任者が確認します。

 

4.技術的安全管理措置

(1)アクセス制御/アクセス者の識別と認証

マイナンバー・特定個人情報を取り扱うPCなどを特定し、その機器でのユーザアカウント制御などによって、

マイナンバーを取扱事務担当者以外がむやみに扱えないよう制限します。

 

(2)外部からの不正アクセス等の防止

セキュリティソフト導入など、外部からの不正アクセス等から保護する仕組みを導入・運用します。

 

(3)情報漏えい等の防止

特定個人情報の含まれるデータの暗号化・パスワード保護など、通信経路においても情報漏えいが発生しないような措置を講じます。