マイナンバーの取り扱いフローと安全管理措置

平成27年10月より通知開始となったマイナンバーですが、その重要性は高く、取扱いには十分な注意が必要となります。

運用フローとしては「取得」→「利用・提供」→「保管」→「廃棄・削除」となります。
ただ準備なくいきなり「取得」するのではなく、「漏えい」や「不正利用」が生じないような仕組みが大切です。

そのためにガイドライン等では、「安全管理措置」が講じられるべきと提示しています。

マイナンバーガイドラインの安全管理措置には、基本法方針の策定について、特定個人情報等の適正な取扱い確保について組織として取り組むために、基本方針を策定することが重要である。

と記述していまます。

たとえば、基本方針を決めたあとの取扱規定については、取扱規定等を策定しなければならない。ということで、アンダーラインが引かれて記述されています。

にも拘わらず、基本方針はアンダーラインもなく、必須条件にはなっていません。

このことから、基本方針というのは、現在の社内規定や、セキュリティポリシーを見直し、企業がマイナンバー法を遵守しマイナンバーガイドラインに基づき、特定個人情報について適正な取扱いをすることを宣言する内容を盛り込めばよいのではと考えます。

ガイドラインでは、 基本方針に定める項目としては、 次を挙げています。
・ 事業者の名称
・ 関係法令・ガイドライン等の遵守
・ 安全管理措置に関する事項
・ 質問及び苦情処理の窓口 等

個人情報保護に関し、プライバシー ポリシー（個人情報保護方針）を明示している企業は、それをアレンジすれば問題ないと考えられます。

取扱規程等の策定
○ 特定個人情報等の取扱い等を明確化する。
○ 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。

ヒント　 業務マニュアル、業務フロー図、チェックリスト等に、マ イナンバーの取扱いを加えることも考えられます。

組織的安全管理措置

組織体制の整備
運用状況の確認手段
取扱状況の確認手段
情報漏えい等事故発生に備えた体制整備
取扱い状況の把握と安全管理措置の見直し

人的安全管理措置
マイナンバーの取扱担当者やその監督についての対策のことです
また、従業者への教育・研修の実施も内容として含まれています

物理的安全管理措置
以下の4つがあります。
・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏洩等の防止
・個人番号の削除、機器及び電子媒体等の廃棄

技術的安全管理措置として、

・ユーザーアカウント制御によるアクセス制御
・外部からの不正アクセス防止
・情報漏えい防止

等が考えられます。