企業は、マイナンバー及び特定個人情報の漏洩、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。
安全管理の措置
マイナンバーは非常に重要な個人情報です。漏えい・滅失・毀損等の防止や、その他の適切な管理のために、必要かつ適切な安全管理措置を講じる義務があります。番号法で、全ての事業者は、マイナンバーについて安全管理措置を講ずることとされています。担当者任せではなく、会社として取り組みましょう。
特定個人情報の安全管理措置
全事業者が対象
個人情報保護法では5,000件以上の個人情報を管理する事業者(つまり実質的に中堅企業以上)が対象でしたが、特定個人情報に関しては中小規模事業者を含む全ての事業者が対象となります。利用の制限
定められた行政手続きなど以外の目的での利用が禁止されています。違反すると刑事罰となります。また当該手続きの担当者以外は個人番号を見られないようにする必要があります。安全管理義務
安全管理義務を怠り、特定個人情報を紛失したり第三者に漏洩などした場合は、代表者または管理者などが懲役または罰金(或いはその両方)に科せられます。
安全管理措置ガイドライン
via minna-post.com
取扱規定の整備と運用ガイドライン
・取得、保管、利用、提供、廃棄の各プロセスでの管理を実施
・個人情報の取得に関する手順(本人確認、取得経路、取得方法など)
・特定個人情報の利用履歴(いつ誰が何の目的で利用したかなど)の管理
・特定個人情報が保管されている記録媒体(紙、CD、PC、データセンターなど)の管理
・特定個人情報の適切な保管場所(カギ付書庫、金庫、データセンターなど)の確保
・保管場所のセキュリティの確保(アクセス制限、運用監視、入退室管理など)
・法定保存期間が経過後の廃棄記録(シュレッダー、データ物理削除など)
・適切な管理、監督ができるよう責任者や担当者への定期的に研修などを実施
・管理区域への物理的安全措置(間仕切、認証、持込機材の制限など)
・これらが常に有効に機能しているかを定期的にプロセス検証を実施
・PCなどの盗聴、盗難、紛失などに対する適切な安全管理措置
安全管理措置で明確化すべき基本的事項
via a2.mzstatic.com
まず中小規模事業者の安全管理措置の説明の前に、一般的に求められるガイドライでの安全管理措置について見ておきたいと思います。マイナンバー法では、事務の特性から次のような各種の制限をしています。マイナンバーの利用できる事務の範囲
特定個人情報ファイルを作成できる範囲
特定個人情報を収集・保管・提供できる範囲等
安全管理措置については、次の事項の明確化を図ることを求めています。
個人番号を取り扱う事務の範囲の明確化
取り扱う特定個人情報等の範囲の明確化
個人番号や特定個人情報を取り扱う事務担当者の明確化
マイナンバーの安全管理措置
企業は、マイナンバー及び特定個人情報の漏洩、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
安全管理措置は、中小企業に対する特例を設けることにより、実務への影響に配慮しています。
中小企業(中小規模事業者)における対応方法
<組織的安全管理措置>組織体制の整備
取扱規程等に基づく運用
取扱状況を確認する手段の整備
情報漏洩事案に対応する体制の整備
取扱状況把握及び安全管理措置の見直し<人的安全管理措置>
事務取扱担当者の監督
事務取扱担当者の教育
<物理的安全管理措置>特定個人情報等を取り扱う区域の管理
機器及び電子媒体等の盗難等の防止
電子媒体等を持ち出す場合の漏洩等の防止
個人番号の削除、機器及び電子媒体等の廃棄<技術的安全管理措置>
アクセス制御
アクセス者の識別と認証
外部からの不正アクセス等の防止
情報漏洩等の防止