【マイナンバー】中小企業の「安全管理措置」について

マイナンバー制度の開始に伴い、すべての企業に「安全管理措置」を講じる義務が生じます。これは中小企業であっても同様です。「安全管理措置」とは一体どのようなものなのでしょうか。

 (36994)

すべての企業は「安全管理措置」を講じる必要がある

 (36995)

管理の徹底が重要
 マイナンバー制度では、個人情報の漏えいに対して厳しい罰則があるため、企業は厳格な管理体制を構築する必要がある。
 それについては内閣府・特定個人情報保護委員会が「特定個人情報の適正な取扱いに関するガイドライン」を発行し、マイナンバーを取り扱うすべての企業が特定個人情報に対して「安全管理措置」を講じなければならないとしている。
 同ガイドには、安全管理措置として「基本方針の策定」「取扱規定などの策定」「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」が示されている
番号法は、個人番号を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限しています。

安全管理措置とは、事業者が個人番号及び特定個人情報の漏洩、滅失又は毀損の防止等のために設定された措置のことです。マイナンバーは、この安全管理措置などが義務付けられます。

6つの「安全管理措置」

マイナンバー制度と安全管理措置 | マイナンバー対策準備室 (36993)

1.基本方針の策定

基本方針というのは、現在の社内規定や、セキュリティポリシーを見直し、企業がマイナンバー法を遵守しマイナンバーガイドラインに基づき、特定個人情報について適正な取扱いをすることを宣言する内容を盛り込めばよいのではと考えます。

ガイドラインでは、 基本方針に定める項目としては、 次を挙げています。
・ 事業者の名称
・ 関係法令・ガイドライン等の遵守
・ 安全管理措置に関する事項
・ 質問及び苦情処理の窓口 等

個人情報保護に関し、プライバシー ポリシー(個人情報保護方針)を明示している企業は、それをアレンジすれば問題ないと考えられます。

2.取扱規定等の策定

従業員数100人超の場合は「取扱規程」も策定する

前述した「基本方針」のほか、従業員数が100人を超える企業は、自社におけるマイナンバーの取扱いを明確にした「取扱規程」を策定することも求められています。

マイナンバー制度がスタートする2016年1月までに、企業はマイナンバーの運用や管理がしやすいように、取扱規程を策定しましょう。

一般的な「個人情報保護規程」にマイナンバーに関する規定を追加する形になります。ただ、そもそも「個人情報保護規程」がない場合は、全面的に新規作成することになります。ボリュームも大きく、自力で作成することは困難ですので、専門家にひな形を依頼するのが現実的な対応になります。

3.組織的安全管理措置

組織的安全措置とは、組織全体で取り組まなければいけない管理対策のことです。具体的には、個人情報の管理体制を整えることが挙げられます。

まずは、マイナンバーを取り扱う担当者を明確にすること。そして、それ以外の従業員が関わることのできないような仕組みをあらかじめ作っておくことが求められます。

4.人的安全管理措置

人的安全管理措置とは、人的ミスによる情報漏洩やデータの損失を未然に防ぐための措置のことを指します。

具体的にいえば、マイナンバーの取り扱い担当者への教育を徹底し、企業がしっかりと監督しなければならないということです。研修を強化することが求められます。

5.物理的安全管理措置

物理的安全管理措置では、

・マイナンバーを管理する区域を明確にし、入退室管理や持ち込める機器類の制限をかける
・マイナンバーが記載されている書類は施錠できる書庫等に保管する
・マイナンバーを管理しているデータベースサーバーなどの情報システム機器は、セキュリティワイヤーなどで固定する

といったことが考えられます。

管理区域で作業するために必要なものは透明の袋を使用するなどして、持ち出すことに対して精神的なプレッシャーをかけることで犯罪の抑止効果を期待することができます。

管理区域を厳格に設定できない場合は、壁側にディスプレイを配置したりパーティションを設置したりするなどして、容易に閲覧できない状況を作ることが重要です。

6.技術的安全管理措置

技術的安全管理措置として、

・ユーザーアカウント制御によるアクセス制御
・外部からの不正アクセス防止
・情報漏えい防止

等が考えられます。

データベースにアクセスするために、ユーザーIDとパスワードの認証を必要とすることや、社員証ICカードの磁気を利用することなどによって識別する方法があります。

データによって特定個人情報を管理している場合、標的型メール攻撃によって狙われてしまうことが考えられます。不正アクセスや不正ソフトウェアによる攻撃からデータを保護するための仕組みとして、ネットワークを直ちに遮断できる方法を想定しておきます。

さらに特定個人情報ファイルを保存しているデータに対してパスワードを設定したり暗号化したりすることによってデータに鍵をかけることができます。

外部からの不正アクセス防止としてファイヤーウォールを導入するといったセキュリティ対策を講じる以外に、マイナンバー専用のクラウドサービスを導入するなどして物理的に保有せずして管理する方法も考えられます。

クラウドサービスを利用する場合において、クラウドサービス事業者は契約上の業務範囲でマイナンバーを含む電子データを取り扱わない限り、マイナンバー法の委託先には該当しません。この場合、委託先の監督義務が課されることにはなりませんが、クラウドサービス事業者は、クラウド上にあるデータについて適切な安全管理措置を果たすことに従事しなければなりません。

このように、適切な安全管理措置が講じられたクラウドサービスを利用すると、企業で対応すべきマイナンバーのセキュリティ対策の負担が軽くなります。

まとめ

従業員が100人以下の中小企業の場合、「基本方針の策定」と「取扱規定等の策定」は義務付けられてはいませんが、従業員を教育するためにも、簡易的なものは作成しておいたほうが良いでしょう。
何か事故があってからでは遅いです。仮に事故が起きたとしても、「安全管理措置」を講じた上での事故と、何も対策を取っていなかった時の事故では、全く意味合いが異なってきます。
以上の記事を参考にして頂き、「安全管理措置」の対策を検討してみてはいかがでしょうか。