マイナンバーの運用記録を残そう!記録に関する注意点まとめ!

企業がマイナンバーを運用して行くにあたって最も面倒なのが運用記録を取らなければならないことではないでしょうか。作業したことについていちいち記録を残すのは大変ですが、万が一の事態に備え自分たちがきちんと管理していることを証明するのは重要なことです。マイナンバーの運用記録に関する注意点についてチェックしておきましょう。

何を記録するべき?

(43415)

via torapple.com
取扱規程等に基づく運用状況を確認するため、システムログ又は利用 実績を記録する。
≪手法の例示≫
* 記録する項目としては、次に掲げるものが挙げられる。
・ 特定個人情報ファイルの利用・出力状況の記録
・ 書類・媒体等の持出しの記録
・ 特定個人情報ファイルの削除・廃棄記録
・ 削除・廃棄を委託した場合、これを証明する記録等
・ 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者
の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
【中小規模事業者における対応方法】
○ 特定個人情報等の取扱状況の分かる記録を保存する。

記録項目の例は?

a) 記録項目
 ・ 作業日
 ・ 作業内容
 ・ 担当者
 ・ 責任者確認日
 ・ 備考

なぜ記録しなければならない?危険物に対する意識と業務を改善するため!

(43416)

via www.showaplant.com
これらの記録を取りながらの運用を考える場合「そもそもこの目的は何か」という点を理解しておく必要があります。

記録を取ること自体、取扱者のマイナンバーに対する危険物としての意識が高まり、漏えい事故の防止につながります。一方、万が一漏えい事故が発生した場合、早く原因箇所を突き止めて事故の拡大を防いだり、再発防止の対策につなげたりする点に狙いがあるのではないでしょうか。

「ルールだからしなければならない」という受け身的な観点で考えるのではなく、業務上のどのポイントで記録を取ればリスクを回避でき、作業効率の観点でも問題なく業務遂行ができるのか検討すべき案件でしょう。

受け身で対応すると結局、事故は起こりやすくなります。リスク対策に積極的に取り組むことで、その結果、リスク低減につながるはずです。

システムログだけでは不十分!人的な記録もきちんとつけよう!

ガイドラインの具体事例を見ればわかるように、「情報システムを使用する場合」と、システムを明記しているのは⑤のみ。つまり、システムとは関係なく、人がメインで行う作業においても運用の記録を付けなければならない点が、この制度の特徴です。

⑤の「アクセスログ等」については、技術的安全管理措置の項でもアクセス制御やログ分析など、同等の記載があり、システム利用の場合、これらの対策は義務であると認識すべき内容です。

システムの場合は一度プログラム化しておけば、あとは自動で記録してくれるので、最初の開発の仕様作成でちゃんと押さえておけば良いわけです。

しかし、人の作業となると毎回、忘れずに漏れなく記録をしなければならないので大変です。そのためのマニュアルの整備と業務フローの構築がより一層、重要になります。

削除記録は必ずつけよう!物理的安全管理措置からの要請!

(43417)

via www.photolibrary.jp
個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合 で、所管法令等において定められている保存期間等を経過した場合には、 個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。
→ガイドライン第4-3-(3)B「保管制限と廃棄」参照
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒 体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、こ れらの作業を委託する場合には、委託先が確実に削除又は廃棄したこと について、証明書等により確認する。
≪手法の例示≫
* 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
* 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
* 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
* 特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
* 個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定める。
【中小規模事業者における対応方法】
○ 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
なお、ここでいう「容易に復元できない手段での廃棄」とは、データ復元用のソフト等を用いなければ復元できないレベルが要求されています。
データ消去ソフトなどの活用も考えられるでしょう。
機器類については、完全な破壊などを行うことが望ましでしょう。
参考までに、ハードディスクをドリルで破砕した場合は、ほぼ情報の復元が不可能となります。
書類等に関しては、焼却または溶解の他、復元不可能な程度に細断可能なシュレッダーの利用や、マイナンバー部分に復元不可能な程度のマスキングを行うこと等をいいます。
このようにして廃棄または削除を行ったことについては、必ず記録を残してください。
その際の記録に、マイナンバー自体の記載をしてはいけません。
記録の内容としては「特定個人情報ファイルの種類・名称、責任者・取扱部署、削除・廃棄状況等」が例示されています。
また、削除・廃棄について委託を行った場合は、削除・廃棄が確実に行われたことを証明書等で確認する必要があります。
マイナンバーの運用記録の中でも最も重要なのが廃棄・削除記録です。廃棄・削除の記録をきっちりつけることで企業として責任を果たしたことを示し、万が一以前保管していた特定個人情報の漏洩が起きても自分たちが原因でないことを立証できます。

最も面倒くさい!利用・出力状況や持ち出しについての記録!

マイナンバーの運用記録の中でも最も面倒なのが利用・出力状況や持ち出しについての記録ですが、やはり重要です。特に社外に特定個人情報を持ち出した際に記録することは非常に重要ですので、「誰が」「どのような書類・ファイルを」「いつ」「どういう理由で」持ち出したのかあとでわかるようきっちり記録しておきましょう。

あらた経営労務事務所

あらた経営労務事務所
マイナンバー制度導入のために必要な書式を記載します。
マイナンバー制導入のための書式をダウンロードできるページです。持ち出し記録のドキュメントもダウンロードできるため是非利用してみましょう。

取扱区域や管理区域から持ち出す場合の漏えい防止措置

特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容 易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、 安全な方策を講ずる。
「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移 動させることをいい、事業所内での移動等であっても、紛失・盗難等に 留意する必要がある。
≪手法の例示≫
* 特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持出 しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等が 考えられる。ただし、行政機関等に法定調書等をデータで提出するに当たっ ては、行政機関等が指定する提出方法に従う。
* 特定個人情報等が記載された書類等を安全に持ち出す方法としては、封緘、 目隠しシールの貼付を行うこと等が考えられる。
【中小規模事業者における対応方法】
○ 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、 パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗 難等を防ぐための安全な方策を講ずる。
持ち出しの記録は社外に持ち出す場合だけでも十分と考えられますが、社内でも取扱区域や管理区域から持ち出す場合は漏えい防止措置が義務付けられています。