PR

安全管理措置のポイント

 安全管理措置の具体的な内容については、ガイドラインの別添を参照いただくこととして、ここでは各項目のポイントを解説する。

(1)基本方針の策定
 企業として特定個人情報を適正に取り扱うことを宣言するものである。関係法令・ガイドラインなどの順守、取扱規程を定めていること、窓口などを明示すればよい。

(2)取扱規程の策定
 多くの企業では、この取扱規程の策定に悩むようだ。業界ごとに事情が異なるため政府もひな型までは提供していない。ただし、弁護士事務所ではひな型をインターネットで公開している例もある。これらを参考に自社の実務に合わせて運用を定めていけばよい。

 基本的には、(3)以降の4つの安全管理措置について企業としての考え方を明記し、マイナンバーを取り扱う段階ごとに、取り扱い方法、責任者・事務取扱担当者とその任務について整理していく。ドキュメントを作成することが目的ではなく、第3回と第4回で解説した注意事項を段階ごとに確認しながら、(3)以降の4つの安全管理措置を踏まえて実務運用を確定していくことが目的だ。

(3)組織的安全管理措置
 マイナンバーを取り扱うのは人事・経理担当に限らないため、企業として取り扱いの組織体制を明確にしておく。さらに、特定個人情報ファイルの運用状況の記録や取り扱い状況の確認手段を明確化し、事故発生時の体制や点検・監査の実施についても明確にしておく。

(4)人的安全管理措置
 一般社員に対してはマイナンバー制度の概要を理解するための教育を実施することが望ましい。政府が提供しているパンフレットや動画などの教材で対応が可能である。また、事務取扱担当者に対しては、自社における特定個人情報などの適正な取り扱いについて研修を実施することが必要だ。

(5)物理的安全管理措置
 特定個人情報ファイルを取り扱う情報システムを管理する区域(管理区域)と特定個人情報などを取り扱う事務を実施する区域(取扱区域)を明確にし、入退室管理や間仕切りなど物理的な安全管理対策を行う。さらに、電子機器・媒体の盗難防止、電子媒体持ち出し時の漏えい防止、マイナンバーや電子媒体の消去・廃棄についても対策が必要だ。

(6)技術的安全管理措置
 特定個人情報ファイルを取り扱うシステムに関して、アクセス制御、アクセス者の識別・認証、外部からの不正アクセス防止、通信経路上の漏えい防止などを行う。

 このなかで、(2)取扱規程の策定と(3)組織的安全管理措置については、中小規模事業者向けに緩和措置がある。特に(2)については、特定個人情報などの取り扱いなどを明確化し、事務取扱担当者変更の際の引き継ぎと責任者による確認が求められるだけで、規程の策定までは要求されない。また、(5)物理的安全管理措置と(6)技術的安全管理措置についても緩和措置があるが、盗難・不正アクセス・漏えいなどの防止については大規模事業者と同じ措置が要求されることに留意しなければならない。