マイナンバーの安全管理措置って何?

マイナンバーを取り扱う企業には安全管理措置を行うことが求められます。具体的な安全管理措置の方法と、チェックリストをまとめました。

マイナンバーの安全管理措置って何?

政府のHPを観ていると、「安全管理措置」というワードが出てきます。安全管理措置とは何でしょうか。それはマイナンバーのセキュリティー対策のことです。

そして安全管理措置には、4つの側面があり、その4つ全てにおいての措置、つまり対策を行うように企業は政府から求められています。

事業主のみなさまへ
マイナンバーは、個人情報保護のために、その管理に当たっては、安全管理措置などが義務付けられます。
 (41248)

委託先・再委託先にも監督が必要です
安全管理措置とは?

番号法は、個人番号を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限しています。

安全管理措置とは、事業者が個人番号及び特定個人情報の漏洩、滅失又は毀損の防止等のために設定された措置のことです。マイナンバーは、この安全管理措置などが義務付けられます。

マイナンバーを扱う企業者に義務付けられた管理のことですね。この安全管理措置義務をおった企業者は漏洩を防ぐためなんらかの対策をしなくてはいけません。
安全管理措置の4つの側面とは何でしょうか?
それについては、
1組織的
2人的
3物理的
4技術的
の4つがあげられます。
具体的には主に、
1組織としてマイナンバーの取り扱いの周知徹底、そして整備をおこなうこと。
2マイナンバー担当者を決めるなど人的な対策
3マイナンバー情報が入ったパソコンの持ち出しを禁止するなど、物理的な対策
4パソコンなどの技術面でのセキュリティー対策を行うこと
を行うことだと言えます。
事業者は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
中小規模事業者に対する特例を設けることにより、実務への影響に配慮しています。

具体的な安全管理措置の方法ってなにをすればいいの?

1. 個人番号を取り扱う事務の範囲を明確にする
事業者は、個人番号関係事務又は個人番号利用事務の範囲を明確にしておく必要があります。

2. 特定個人情報等の範囲を明確にする
事業者は、1で明確にした事務において取り扱う特定個人情報等の範囲を明確にしておく必要があります。

3. 事務取扱担当者を明確にする
事業者は、1で明確化した事務に従事する事務取扱担当者を明確にしておく必要があります。

4. 基本方針を策定する
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定する必要があります。

5. 取扱規程等を策定する
事業者は、1~3で明確にした事務における特定個人情報等の適正な取扱いを確保するために、取扱規程等を策定する必要があります。

マイナンバーをなんのために利用するのかを文書などで明確に示すこと、取り扱い責任者を決めて担当がだれなのかを明確にすること、基本方針を決めておくことなど、マイナンバーに関することをあいまいなまま放置せず、すべて明確に示しておかなければいけないんですね。

安全管理措置のチェックリスト!

1.個人番号を受け取る必要のある事務の洗い出し
個人番号の受け取りが必要な対象者と事務の洗い出しを行いましたか?
⇒役員・従業員のほか、報酬支払先、株主などの個人番号の受け取りも必要です。

2.取り扱う特定個人情報等の洗い出し
上記1により洗い出した個人番号を受ける事務に関して、
取り扱う特定個人情報(個人番号を含む個人情報)等を洗い出しましたか?

3.事務取扱担当者の選任
個人番号を取り扱う事務取扱担当者を選任しましたか?
※担当部署・責任者の設置も必要となります。

4.本人確認の方法
従業員等から個人番号を受け取る際の本人確認の方法について、
手続方法を定めましたか?

5.個人番号・特定個人情報の記録・保存方法
個人番号・特定個人情報の記録・保存方法を定めましたか?
(例:書類、システム上の電子ファイル)

 (41247)

まとめるとこのような業務が発生します!

この安全管理措置について、中小規模事業者(従業員100人以下)に対しては、実務への影響を配慮して特例を設けています。ただし、マイナンバー関連の事務について委託を受ける事業者は、中小規模事業者には該当しないので注意が必要です。
基本方針の策定マイナンバー保護に関する基本理念の策定、評価、見直し 等
取扱規程の策定マイナンバーの運用にあたる具体的なマニュアルや事務フローの策定 等
組織的安全管理措置責任者・担当者の限定、取り扱い規程に則った運用とその実績管理 等
人的安全管理措置担当者の教育、監督 等
物理的安全管理措置マイナンバー取り扱いエリアの限定(壁、間仕切り等)、書類保管庫の施錠、電子媒体のワイヤーロック 等
技術的安全管理措置廃棄アラート、システムログの記録、アクセス制御、ウイルス対策ソフトの導入 等

マイナンバーに関する事務フローとは?

源泉徴収票等を作成する事務の場合、例えば、次のような事務フローに即し
て、手続を明確にしておくことが重要である。
① 従業員等から提出された書類等を取りまとめる方法
② 取りまとめた書類等の源泉徴収票等の作成部署への移動方法
③ 情報システムへの個人番号を含むデータ入力方法
④ 源泉徴収票等の作成方法
⑤ 源泉徴収票等の行政機関等への提出方法
⑥ 源泉徴収票等の控え、従業員等から提出された書類及び情報システムで
取り扱うファイル等の保存方法
⑦ 法定保存期間を経過した源泉徴収票等の控え等の廃棄・削除方法 等
【中小規模事業者における対応方法】
○ 特定個人情報等の取扱い等を明確化する。
○ 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任
ある立場の者が確認する。

組織的安全管理措置とは?

 (41249)

ある程度の大きな企業になれば、安全管理措置も組織的に整備する事が必要です。
誰が管理を行っているのか、マイナンバーの利用はどこまで許されるのか、マイナンバーにかかわるスタッフ全員に明確に指示しなければいけませんよね。これが組織整備だと思います。
組織的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的
安全管理措置を講じなければならない。
a 組織体制の整備
安全管理措置を講ずるための組織体制を整備する。
≪手法の例示≫
* 組織体制として整備する項目は、次に掲げるものが挙げられる。
・ 事務における責任者の設置及び責任の明確化
52
・ 事務取扱担当者の明確化及びその役割の明確化
・ 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
・ 事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場
合の責任者への報告連絡体制
・ 情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等
への報告連絡体制
・ 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責
任の明確化
【中小規模事業者における対応方法】
○ 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分
することが望ましい。

まとめ

以上のように、マイナンバーの安全管理措置は大幅に業務を見直すことが必要になります。担当者をきちんと明確にして、漏洩を防ぎマイナンバーによるトラブルに巻き込まれないようにしましょう。