中小規模事業者に求められる「安全管理措置」とは?

政府は、中小規模事業者に「安全管理措置」を求めているみたいです。また、中小規模事業者における特例的対応についても説明します。

物理的安全管理措置とは?

物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。

【物理的安全管理措置として講じなければならない事項】
(1)入退館(室)管理の実施
(2)盗難等の防止
(3)機器・装置等の物理的な保護

施錠できるキャビネットや書庫、金庫等に、マイナンバーを保管したりすることだけが物理的安全管理措置だと思われがちですが、入退館(室)管理なども当てはまるんですね。

これは、内部からの情報漏えい結構あることからなのでしょう。

 (11882)

技術的安全管理措置とは?

技術的安全管理措置とは端的に言えば、情報システムなどITの利活用に関する安全管理措置、粗く言えば情報セキュリティです。これに関しては、次の措置が必須で求められています(図1)。

 情報セキュリティに関しては、情報セキュリティマネジメントシステム(ISMS)適合性評価制度における考え方や手順などが参考になります。セキュリティに関する抜け穴を突かれないためには、全体を把握してセキュリティ対策を行うべきですが、これにはある程度体系的な取り組みが求められます。特に情報セキュリティに関するリスクアセスメントを行い、どのようなリスクがどの程度発生する見込みがあるかを見極め、それに対してどのように対処するのかを判断することが重要です。

 このとき、十分なセキュリティ対策であるとともに実現可能なセキュリティ対策となっていることが必要です。中小規模事業者であってもこうした考え方に基づき、リスクへの対処を行うことは、特定個人情報を十分に守る上でも、また過剰な措置を行わないようにするためにも重要です。

適切なアクセス制御やアクセス者の識別と認証など、IT関連に強い人を担当者に置くべきです。
常に最新のセキュリティシステムを使うように、システム更新も頻繁に行うようにしましょう。
 (11892)

人的安全管理措置とは?

人的安全管理措置
企業は従業員の教育・監督をしなくてはなりません。従業員に定期的な研修を行うほか、秘密保持に関する事項を就業規則などに盛り込むなどして、運用ルールを徹底する必要があります。
マイナンバー取扱担当者を選ぶことも、悩まされる問題です。

適任者がいない会社は、事業主自ら担当者にならなければいけません。

 (11902)

組織的安全管理措置とは?

<組織的安全管理措置>
組織体制の整備
取扱規程等に基づく運用
取扱状況を確認する手段の整備
情報漏洩事案に対応する体制の整備
取扱状況把握及び安全管理措置の見直し
個人データの取扱いに関する規程を作ったり、事故又は違反への対処を発表したり、社員全員をセミナーに参加させたり、組織一丸となって動いていかないといけないようですね。
 (11898)

政府の言う安全管理措置

マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理 措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません。

《基本方針の策定》
○ 特定個人情報等の適正な取扱いの確保について組織として取り組む
ために、基本方針を策定することが重要です。

《取扱規程等の策定》
○ 特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなけ
ればなりません。

これに上記4つがプラスされた内容が、政府サイトで確認できます。

viaをクリックしてサイトに行き、一度見ておくことをお勧めします。

 (11905)