コストの掛かりやすい物理&技術的安全措置

マイナンバーの安全管理において物理的安全管理措置と技術的安全管理措置はコストが掛かりやすいと言われています。今回はその二つについて少し調べてみました。

政府の中小企業向けガイドライン

政府の中小企業向けガイドラインの6ページ目に、個人番号と特定個人情報を保護するための安全管理措置について書かれています。簡単に触れられているだけですが、分かりやすいのでとりあえず読んでみてください。
(42829)

via www.pakutaso.com
個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な安全 監督も行わなければなりません。

安全管理措置の内容を理解しよう

中小企業にとってマイナンバー対応で一番の難しいのは安全管理措置だと思います。情報が漏れたら大変なことになりますから、うっかりしたミスも許されません。まずは安全管理措置の内容を把握し、どのような対策が自社に合っているのか検討していきましょう。
(42841)

via www.gov-online.go.jp
では、「安全管理措置」とは一体どのようなもので、どのような手順で具体的な内容を決めていけばよいのでしょうか。
安全管理措置を講じる手順は次の通りです。

STEP1: 安全管理措置の対象になるマイナンバー関連の業務範囲と担当者を決める。
STEP2: マイナンバーの取扱方針と取扱規程を定めます。
STEP3: ガイドラインで示されている4つの観点からの「安全管理措置」について対策を講じます。

物理的安全管理措置と技術的安全管理措置を考える

コストが掛かりやすいと言われる物理的安全管理措置と技術的安全管理措置。中小企業なら実情や規模に合わせて、効率の良い設備を入れる必要があると思います。個人情報の管理についても紙媒体がメインか、それとも電子的データがメインかで対策は変わってきます。
準備段階で必要な、物理的安全措置

「事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない」と定まっています。準備段階で必要なのはこのうちの最初の2項目です。

a特定個人情報等を取り扱う区域の管理
b機器及び電子媒体等の盗難等の防止

前回は番号法ガイドラインに記載の技術的安全管理措置が、昨今日本国内で起こっている「標的型攻撃」に対し、全く効力のない対策の例示しか言及されていない点について触れた。また、ガイドライン自体も例示がすべてではなく、環境に応じて必要な対策を考慮するよう促している。つまり、現在のセキュリティリスクに照らし合わせて考慮し、企業側の判断でマイナンバーを守っていかなければならない。

安全管理措置を怠れば罰則が・・・

マイナンバーになったことで罰則が強化されました。マイナンバー制度は全ての企業が対象なので、中小企業だからといって例外ではありません。また罰則以外にも社会的信用の低下や損害賠償など、企業にとって情報漏洩のダメージは大きいと思われます。なにより従業員の将来を左右するので安全管理措置はしっかりやっておきたいですね。
(42842)

via www.pakutaso.com
マイナンバーの保護措置などを規定している番号法は、個人情報保護法の「特別法」としての位置付けとなり、マイナンバーに関しては番号法の規定が優先する形となります。
注意したいのは、番号法の罰則は、個人情報保護法よりも重い内容が設けられていることです。

正当な理由なく特定個人情報ファイルを第三者に提供するような場合にも、「4年以下の懲役もしくは200万円以下の罰金または併科」が科せられることがあります。

個人情報保護法では、保有する個人情報が5,000件を超えない小規模事業者であれば適用外という位置付けでしたが、今回は情報の数に関わらず従業員を雇用しているすべての企業が対象になります。

 また、マイナンバーは税と社会保障、災害という3つの分野に関する行政手続きでのみ使用することが可能となっており、この番号を従業員の管理に利用することはできません。

 これは本人の同意があったとしても利用してはならないとされており、この部分も個人情報保護法とは異なる部分です。