企業は従業員から集めたマイナンバーを管理しなければなりません。今回はそのためのリスク分析について少しだけ調べてみました。
管理のリスクを分析する
従業員から収集したマイナンバーを管理するには、保管方法やセキュリティなど多方面からのリスクを分析をする必要があります。自社の安全管理措置はきちんとできているか、外部委託をした場合は委託先が信頼できる管理を行っているかなど、綿密にチェックをしていくといいでしょう。
via www.pakutaso.com
セキュリティ、プロセスの両面でリスク分析をする。
税理士等第三者へ個人番号関連情報を委託している場合
• 契約を確認し、自社が監督者として振る舞えるかどうかを確認する。
パッケージソフトを利用している場合
• 個人番号対応というだけでなく、セキュリティ面もしっかり確認する。
クラウド利用の場合
• 自社が監督者として振る舞える契約ができるか確認する。
2.リスク特定:重要な情報資産と管理状況の特定情報漏えいや情報が消失した場合の組織へ及ぼす被害の程度により、重要な情報資産を特定します。この情報資産に対する脅威と脆弱性を特定することで、情報セキュリティリスクを可視化します。脆弱性を特定し、リスクを可視化するためには、情報資産の管理状況を把握することが重要です。
3.リスク分析/リスク評価:優先して対策すべきリスクの把握
情報セキュリティリスクを分析、評価し、実施対策の優先度を決定します。これにより優先して対策すべきリスクが把握できます。リスク評価では、定性的、定量的に判断するための評価基準を定めることが重要です。
マイナンバーのリスク分析と対応の進め方
ここではマイナンバー制度について事業者がどのように対応していくべきかを調べてみました。手順としてはそれほど難しいことはありませんが、リスクに対して必要な安全措置をどう講じていくかが企業にとっては難しいと思います。
適切な管理をするには従業員の教育も必要ですし、セキュリティ対策も万全にしなければなりません。やることが多すぎて焦ってしまうかもしれませんが、一つずつ確実な対策をしていきましょう。
適切な管理をするには従業員の教育も必要ですし、セキュリティ対策も万全にしなければなりません。やることが多すぎて焦ってしまうかもしれませんが、一つずつ確実な対策をしていきましょう。
via www.pakutaso.com
① 対象業務の洗い出し
自組織の中でマイナンバーがどのような場面で取り扱われるか洗い出しを行い、対象業務と範囲を明確にします
② 洗い出された現在の対象業務と求められる安全管理措置のギャップ分析
「特定個人情報に関する安全管理措置(事業者編)」から、現在の対象業務とのギャップ分析を行い、不足しているものは何かを明確にします。このプロセスでは関係する社内規程類やシステム対応へのギャップも含めて分析します。
適切な安全管理措置を考えよう
大切な個人情報を守る為には、しっかりとした安全管理措置が必要です。ここでは安全管理措置の基本をもう一度おさらいしてみます。企業に求められるのは4つの安全管理措置ですが、それそれの企業によって対応が変ってきますので、従業員の数などを元に適切なマイナンバー管理対策を講じましょう。
via www.pakutaso.com
この安全管理措置は、マイナンバーや特定個人情報の漏えい、滅失、毀損の防止その他の適切な管理のために、すべての企業が行わなければなりません。ただし、大企業から中小企業まで同じ措置を講じることは現実的に困難なことから、中小規模事業者(従業員数100人以下の事業者)に対して、特例が設けられています。
安全管理措置の具体的な内容は、以下の6つになります。
マイナンバー制度が施行されるに当たって、事業者は国の定めた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に則り、特定個人情報等の厳正な取扱い基本方針の策定や、個人番号取扱い事務と特定個人情報等の厳正な取扱いを確保するために、取扱規定等を策定しなければなりません。そして特定個人情報保護のため、全ての事業者は、 「組織的安全管理措置」「人的安全管理措置」「技術的安全管理措置」「物理的安全管理措置」という4つの安全管理措置を講じる必要があります。