マイナンバーには重要な情報がたくさん。そのため政府から「安全管理措置」が義務付けられていますが、「安全管理措置」とはいったいどのようなものなのでしょうか。
安全管理措置とは
事業者が個人番号及び特定個人情報の漏洩、滅失又は毀損の防止等のために設定された措置のことです。マイナンバーは、この安全管理措置などが義務付けられます。
個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません。
重要であるがゆえに、なかなか骨が折れそうです・・・
安全管理措置の5つの手順
事業者は、特定個人情報等の取扱いに関する安全管理措置について、次の5つの手順で検討を行う必要があります。1. 個人番号を取り扱う事務の範囲を明確にする
事業者は、個人番号関係事務又は個人番号利用事務の範囲を明確にしておく必要があります。2. 特定個人情報等の範囲を明確にする
事業者は、1で明確にした事務において取り扱う特定個人情報等の範囲を明確にしておく必要があります。3. 事務取扱担当者を明確にする
事業者は、1で明確化した事務に従事する事務取扱担当者を明確にしておく必要があります。4. 基本方針を策定する
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定する必要があります。5. 取扱規程等を策定する
事業者は、1~3で明確にした事務における特定個人情報等の適正な取扱いを確保するために、取扱規程等を策定する必要があります。
安全管理措置の分類
1. 組織的安全管理措置
事業者が特定個人情報等の適正な取扱いのために、組織的取り組みに必要な次のような事項を策定します。
・組織体制の整備
・取扱規程等に基づく運用
・取扱状況を確認する手段の整備
・情報漏えい等事案に対応する体制の整備
・取扱状況の把握及び安全管理措置の見直し2. 人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次のような人事上の対応を求めています。
事務取扱担当者の監督
事務取扱担当者の教育3.物理的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、機器や電子媒体等物理的なものへの安全管理措置が求められています。
・特定個人情報等を取り扱う区画の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏えい等の防止
・個人番号の削除、機器及び電子媒体等の廃棄4. 技術的安全管理措置
事業者は、特定個人情報等の適正な取扱いのため、アクセス制御や情報漏えい対策等、次のような技術的な安全管理措置を講ずることが期待されています。
・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏えい等の防止
安全管理措置を取るための第一歩
これらの「安全管理措置」を取る大前提(第1歩)として、貴社がどのような個人情報を保有しているのかを正しく把握することが必要となると思われます。そこで、会社が減価償却資産等について「資産台帳」を保有しているのと同様に、個人情報についても、「個人情報台帳」を整備して、個人情報の取扱いを管理することも重要になります(「資産台帳」がなければ減価償却の計算も資産の把握もできないのと同様に、「個人情報台帳」がなければ、適正な管理などできようがありません。そもそも流出の事実すら確認できないという事態が生じかねません)。かかる作業は大変手間を取るものですし、法律に作成が義務づけられている訳ではありませんが、必要です。
マイナンバーの安全管理措置チェックシート
しかし、細かいマニュアルがあるわけではないので自社に合った安全管理措置を行う必要があります。
すべての企業が行わなければならず、その負担は大きいと思いますがしっかり整備してまさかの事態が起こらないようにしておきたいですね。