マイナンバー制度スタートに伴い、物理的安全管理措置について知っておく。

マイナンバー制度が始まると、一番懸念されることは情報漏えいではないでしょうか?これを防ぐための安全管理措置の中の一つである「物理的安全管理措置」について学んでいきましょう。

METI 経済産業省は、このように勧めている。

物理的安全管理措置
 事業者は、特定個人情報等の適正な取扱いのために、次に掲げ る物理的安全管理措置を講じなければならない。
情報管理

項目
内容(中小規模事業者以外)
中小規模事業者
a.
特定個人情報等を取り 扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、「管理区域」及び「取扱 区域」を明確にし、物理的な安全管理措置を講ずる
b.
機器及び電子媒体等の 盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体
及び書類等の盗難または紛失等を防止するために、物理的な安全管理措置
を講ずる
c.
電子媒体等を持ち出す 場合の漏えい等の防止
特定個人情報等が記録された電子
媒体または書類等を持ち出す場合、
容易に個人番号が判明しない措置
の実施、追跡可能な移送手段の利
用等、安全な方策を講ずる
特定個人情報等が記録された電子媒
体又は書類等を持ち出す場合、パ
スワードの設定、封筒に封入し鞄に
入れて搬送する等、紛失・盗難等を
防ぐための安全な方策を講ずる
d.
個人番号の削除、機器 及び電子媒体等の廃棄
復元できない手段で削除または廃棄する
削除または廃棄した記録を保存す
る。委託する場合には、委託先が
確実に削除または廃棄したことを
証明書等により確認する
特定個人情報等を削除・廃棄したこと
を、責任ある立場の者が確認する
「こうするべき」と講じていますが、そのやり方までは書かれていません。

やはり自分で方法を模索しなければいけないようです。

 (17360)

検索サイトは有効です。

特定個人情報等を取り扱う区域の管理

Q15-1-4 「a 特定個人情報等を取り扱う区域の管理」及び「b 機器及び電子媒体等の盗難等の防止」について、従業員数人程度の事業者における手法の例示を教えてください。

Q15-1-4では、「一つの事務室で事務を行っている場合を想定すると、例えば、来客スペースから特定個人情報等に係る書類やパソコンの画面が見えないよう各種の工夫をすることが考えられます」と記載がされています。また、盗難防止については、「留守にする際には確実にドアに施錠」、「特定個人情報等を取り扱う機器、電子媒体や個人番号が記載された書類等は、施錠できるキャビネット、引出等に収納し、使用しないときには施錠しておくなど盗まれないように保管」とありました。
 盗難防止に関しては、他の重要な書類と同様の措置をとってほしい、という趣旨のようです。

図書館の自習室にある、各席ごとの仕切りみたいなものを設置するのもいいかと思います。
 (17408)

機器及び電子媒体等の盗難等の防止

機器及び電子媒体等の盗難等の防止
企業の多くは、特定個人情報をデータとして電子機器に保存・利用することが多いので、電子機器の盗難に気をつけなければいけません。
ノートパソコンや外付けハードディスク、USBメモリなど、持ち出しが容易な機器は、鍵のかかるキャビネットに保管しましょう。
移動が容易でないデスクトップパソコンも、ワイヤーロック等でしっかり固定し、施錠管理をしましょう。
デスクトップパソコンを盗難する人って滅多にいないと思いますが、用心しておくべきなのでしょうね。

大掛かりに感じるかもしれませんが、情報が漏れて企業がダメージを受けることを考えたら、これぐらい問題ないです。

 (17399)

電子媒体等を持ち出す場合の漏えい等の防止

c 電子媒体等を持ち出す場合の漏洩等の防止:ガイドライン(事業者編)

マイナンバー(特定個人情報)等が記録された電子媒体または書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。「持出し」とは、マイナンバー(特定個人情報)等を、管理区域または取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある。

≪手法の例示≫
※マイナンバー(特定個人情報)等が記録された電子媒体を安全に持ち出す方法としては、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等が考えられる。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従う。
※マイナンバー(特定個人情報)等が記載された書類等を安全に持ち出す方法としては、封緘、目隠しシールの貼付を行うこと等が考えられる。

どうしても電子媒体等を持ち出さなければいけないケースが、これから出てくるかもしれません。

「追跡可能な移送手段の利用」なんて言葉を聞くと、「発信機の取り付け」を連想してしまいます。

 (17396)

個人番号の削除、機器及び電子媒体等の廃棄

個人番号関係事務または個人番号利用事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない方法で削除または廃棄する
個人暗号もしくは特定個人情報ファイルを削除した場合には、削除または廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除または廃棄したことについて、証明書等により確認する
たかが廃棄と侮っていてはいけません。

復元不可能になるまでしっかりと削除するだけでなく、委託先にもそうすることを要求し、監督しなければならないようです。

 (17398)