ここでは、マイナンバーの安全管理措置の4分類のうち、「組織的安全管理措置」について解説します。取扱規定に基づく運用や、中小規模事業者の特例について解説します。
安全管理措置の4分類
前回は、組織的安全管理措置の①管理体制の構築 について説明しました。
ここでは②取扱規定に基づく運用 から説明します。
②取扱規定に基づく運用
⇒規定通りの運用になっているか、履歴を記録しましょう、ということ
取扱規定等に基づく運用状況を確認するため、以下の項目についてシステムログまたは利用実績を記録します。
・特定個人情報ファイルの利用、出力状況の記録
・書類、媒体等の持ち出しの記録
・特定個人情報ファイルの削除、廃棄の記録
・削除や廃棄を委託した場合、これを証明する記録
・特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
なお、これらの情報の保管期間について、法やガイドラインに規定はありません。
しかし、記録の目的が運用実態の把握にあること、運用記録が存在していることそのものが、情報漏えい等への対処として非常に有効であることを鑑みると、できる限り長期の保存が望ましいと言えるでしょう。
弊所の見解ですが、少なくとも、情報漏えいや適正運用に関する定期点検などが終了するまでは、保存すべきであると思われます。
中小規模事業者の特例
中小規模事業者については、以下の情報について、業務日誌などで記録・保管する必要があります。
・マイナンバーを含む特定個人情報等の入手や破棄
・源泉徴収票の作成日
・本人への交付日
・税務署への提出日等の取扱状況
③取扱状況を確認する手段の整備
⇒マイナンバー関連ファイルや書類、担当者や部署などを定めておきましょう、ということ
以下の項目について、特定個人情報ファイルの取扱状況を確認するための手段を整備します。
•特定個人情報ファイルの種類、名称
•責任者、取扱部署
•利用目的
•削除・廃棄状況
•アクセス権を有する者
注意が必要なのは、この記録等には特定個人情報等は記載しないことです。
(記載してしまうと、それ自体が特定個人情報ファイルとなってしまい、目的外利用となってしまいます)
④情報漏えい等事案に対応する体制の整備
⇒情報漏えい事故に対する危機管理をしましよう、ということ
情報漏えい等の事案の発生または兆候を把握した場合、迅速に対応するための体制を整備します。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生予防等の観点から、以下の点を確認し、再発防止対策案を公表することが重要です。
・事実関係の調査および原因の究明
・影響を受ける可能性のある本人への連絡
・委員会および主務大臣等への報告
・再発防止策の検討および決定
・事実関係および再発防止策の公表
情報漏えいが生じるリスクは、低減させることができても0にすることは現実的ではありません。
そこで「万全を期しても情報漏えい等は生じるものである」という認識のもとに、事態が生じた際には迅速・適切に対応する体制の確保が求められます。
⑤取扱状況の把握と安全管理措置の見直し
⇒必要に応じて見直しをしましょう、ということ
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し、改善に取り組みます。
中小規模事業者の特例
情報漏えい等の事案の発生に備え、従業員から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておきます。
企業における情報漏えいの原因として、内部犯行による漏えいが全体の2割を占めるという調査報告があります。マイナンバーを狙うのは、外部のサイバー攻撃者だけではないということです。自社の従業員を信じることは大切ですが、こと情報セキュリティー対策において性善説等の立場を採ることは、マイナンバーの漏えいリスクをより大きくしてしまう恐れがあります。
外部からの攻撃だけでなく、社内からの情報漏えいにも、十分な配慮が必要です。