とりあえず軽減された!中小企業によるマイナンバーの安全管理措置。

従業員が100人以下の中小規模事業者に対しては、マイナンバーの安全管理措置が軽減される事が公表されました。企業主の方は、少しでも手間が省けそうですね。

マイナンバーの安全管理措置とは?

番号法及びガイドライン等が、事業者・団体に要求している安全管理措置とは、重要な情報であるマイナンバー及び特定個人情報の不正利用、漏えい、毀損などの事態が生じないようにするためです。
また、万が一そうした事態が生じてしまっても、状況把握と対策を早急に行い、被害の拡大を防止するためでもあります。
そうした、目的を達成するために、マイナンバーの安全管理措置は、以下のような構成となっています。

基本方針

安全管理体制の基本となるものです
内外に対してどのような姿勢で情報を管理していくのかを表明するものとなります

取扱規程

基本方針を総論とするならば、取扱規程は各論にあたるものです
マイナンバーの取扱いについて具体的な対処を文面化したものであり、実際の体制運営の基盤となります
以下に列挙した、各分野での安全管理措置の制度設計図ともなります

組織的安全管理措置

事業者・団体の内部で、組織としてのマイナンバー取扱いへの対策のことです
人的安全管理措置
マイナンバーの取扱担当者やその監督についての対策のことです
また、従業者への教育・研修の実施も内容として含まれています

物理的安全管理措置

マイナンバーの管理について、専用の取扱区画を設けるなど、物理的な対策を行うものです
近年の情報漏えいは、情報へのアクセス権を有する従業者による、不正なアクセスが原因となって生じています
そのため、必要な時以外は物理的に取扱いが不可能な状況にしておくなどの対策が求められているのです
また、PC・USBフラッシュメモリー等の盗難防止策についても実施しなければなりません

技術的安全管理措置

主としてアクセス権の制御や外部からの不正アクセス防止など、PC上での技術的な対策をいいます
高度に情報化が進んだ現在では、技術的安全対策措置は必須であると言えます
マイナンバーについては、たとえ全システムの管理者であっても取扱担当者でないのであれば、特定個人情報ファイル等にはアクセスが不可能な状態におかなければなりませんので、要注意です

上記のような体制を構築して、従業員やその家族、取引先や株主への信頼を盤石なものと出来るようにしましょう。

一言に安全管理措置といっても、これだけの事を含んでいるのですね。
これを全てちゃんとこなすには、かなりの時間と労力と費用が必要なのではないでしょうか?
 (11126)

特例措置(軽減措置)の適用条件

従業員数が100名以下の中小企業は取扱件数がそれほど大きくないこともあり、原則の措置よりも緩やかな特例措置を施用することができます。

ただし以下の条件にあてはまらないことが条件となっています。

・個人番号利用事務実施者(国や地方公共団体、税務署、健康保険組合など)
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
・個人情報取扱事業者(5,000人以上の個人情報を保有している事業者)
つまり、

・従業員数が100名以下
・民間事業者である
・マイナンバーに関する業務委託を受けていない
・金融分野の事業者ではない
・個人情報取扱事業者ではない
というような場合に、中小企業における特例措置を活用することができるのです。

日本の中小企業数はかなり多いので、上記の条件に当てはまるところって、結構あるのではないでしょうか?
それではその軽減される内容とは?
事項に説明記事を載せました。
 (11130)

特例措置(軽減措置)に関する運用内容

中小規模事業者における対応方法

取扱体制の整備
マイナンバー事務取扱担当者が複数いる場合は「事務取扱担当」と「責任者」を区分する事が望ましい

取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する

取扱状況を確認するための手段の整備
特定個人情報等の取扱状況のわかる記録を保存する

情報漏えい等事案に対応する体制の整備
かかる事態に備え、従業員から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておく

取扱状況の把握及び安全管理措置の見直し
責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う

義務ではないので、これら全てをやる必要はないかもしれませんが、それでも心の止めておくべき内容だと思います。
 (11140)

マイナンバー特例措置が認められない場合がある?

 (11151)

中小企業は取扱件数を考慮し安全管理措置について特例が認められていますが、委託を受けた場合は特例措置が認められません。

特定個人情報に関する委託を受けた場合は、委託者自身が本来果たすべき内容と同等の安全管理措置を講じなければならないからです。

ただし「委託に関する同等の安全管理措置」は、番号法や個人情報保護法の規定を満たしていれば良く、委託者と同レベルの高度な水準が求められているわけではありません。

また既にマイナンバーと同程度の個人情報保護に関する委託契約が締結されている場合は、再締結することなく委託を受けることが可能ですが、今回のマイナンバーで初めて委託する場合は契約締結をすることになります。

委託者は委託先に対して監督責任を負うことになるため、委託先で特定個人情報に関する情報漏えいがあった場合は、委託先だけでなく委託者もマイナンバー法に違反したとして罰せられる可能性があります。

そのため業務委託内容として契約締結を求められることになりますが、請負に関する契約書は収入印紙が必要になることから、契約書以外の書面で契約締結することを委託者から求められることもあるかもしれません。

契約書以外の書面で委託契約を締結したとしても、客観的に記録されている方法であれば、書式はどのようなものであっても問題ありません。

「委託者と同レベルの高度な水準が求められているわけではない」というところが救われます。
しかし、特例措置が認められないというだけで少し損した気分になりますね。
「書式はどんなものでも良い」といわれても、やはりちゃんとしたものを買ってしまうところが多いのでは?

政府のサイトでしっかり確認しておく事も大事です!

安全管理でも中小企業には特例がある
 「特定個人情報の適正な取扱いに関するガイドライン」には細かい規定があるが中小企業には特例的措置も設けられている。主だったものは以下の通りである

1.組織的安全管理措置
 責任者の設置、取扱担当者の明確化、取扱担当者が取り扱う特定個人情報の範囲の明確化など詳細な義務項目が定められているが、【中小規模事業者】(※以下参照)にはそこまで細かい義務は求められていない。例えば取扱規程などに基づく運用状況の確認のために、システムログや利用実績を記録することが求められているが、中小企業の場合は、業務日誌等において取扱い状況等を記録するといった対応でもよいとされている。

※【中小規模事業者とは】
事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいいます。
・個人番号利用事務実施者
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
・個人情報取扱事業者
2.物理的安全管理措置
 特定個人情報等が記録された電子媒体または書類等を持ち出す場合には「容易に個人番号が判明しない措置の実施」「追跡可能な移送手段の利用」などの安全策が求められる。しかし、中小企業には「パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策」と緩やかな措置となっている。

3.技術的安全管理措置
 特定個人情報に対するアクセス制御やアクセス者の識別と認証は中小企業には義務化されていない。
 だが、現代のようにインターネットなど、ITを日常的に活用しながらで事業を営む環境では、情報システムの安全管理は中小企業にとっても重要な経営課題である。それゆえ、特定個人情報に対するアクセス制御、アクセス者の識別と認証、外部からの不正アクセス防止、情報漏えい防止などのような技術的安全管理は義務でなくても取り組むことが賢明である。

内容が重複しているかもしれませんが、やはり政府サイトの記事とブログ記事では信用度が違います。
ブログでは、筆者のアレンジした表現になっている場合もありますからね。

上記記事だけでなく、政府サイトに実際に行ってみる事も大切です。

 (11161)