取扱区域はどのように作る?担当者以外マイナンバーを見れないよう工夫しよう!

企業がマイナンバーを管理するにあたって安全管理措置が義務付けられていますが、その中でも厄介なものの一つが物理的安全管理措置の取扱区域ではないでしょうか。企業はマイナンバーに関する事務作業をする取扱区域を設置し、取扱区域以外でマイナンバーの作業を行わないようにしなければいけません。事務所のスペースが狭い中小企業はどのように取扱区域を作るべきか見ていきましょう。

取扱区域とは?

 (43391)

取扱い区域は、社内で社会保険や、給与、税務及びマイナンバーの取得、廃棄に関する事務を行なう場所です。専用の部屋があれば、その部屋への施錠となりますが、一般的な中小企業ではそのような場所も確保しづらいと思います。その際には、部屋の一番端(奥)を取扱区域として、高さ180cm程度のパーティションなどで区切る必要が有ります。
取扱区域で行われる作業としてはマイナンバーの検索作業、行政向け提出書類への転記作業、収集したマイナンバーのハンドリング作業などが考えられます。

管理区域との違いは?

 (43392)

要件

管理区域:マイナンバーファイル関連のシステムやファイルがあるサーバールーム等
取扱区域:マイナンバーの記載された書類を取り扱う場所。

ガイドラインにおける記述

a 特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファ イルを取り扱う情報システムを管理する区域(以下「管理区域」とい う。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱 区域」という。)を明確にし、物理的な安全管理措置を講ずる。
≪手法の例示≫
* 管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ 持ち込む機器等の制限等が考えられる。
* 入退室管理方法としては、ICカード、ナンバーキー等による入退室管理シ ステムの設置等が考えられる。
* 取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及 び座席配置の工夫等が考えられる。

区別する理由は?

このように管理区域と取扱区域を区別する理由はどこにあるのでしょうか。
ひとつめの理由は、マイナンバー取扱事務においてはその性格上、PCやコピー機など、容易にファイルを複製することが可能な機器を利用する機会が多くなることが挙げられます。
そのため、管理区域において不正な複製またはデータのマッチングなどが行われやすい状況を招いてしまいます。
ふたつめの理由は、マイナンバー取扱事務は複数の種類があり、その事務を取扱う担当者がそれぞれに異なっていることが少なくないことです。
異なる事務取扱担当者が同じ区域で作業すると、自身の取扱範囲ではない事務について目にする機会が増え、その分、情報漏えいの危険性が高まります。
こうした理由から、番号法では「保管と利用」の区域を明確に分ける措置を行うよう、要請していると考えられます。
以上から分かる通り、入退室管理は管理区域にのみ要求されており、取扱区域においてはその実施が義務付けられているわけではありません。
しかし、そもそもオフィス内に予期せぬ者が立ち入ること自体、マイナンバーの安全管理という点では避けるべきことです。
そうなると、オフィスへの入退館については、記録簿等での管理を行い、管理区域についてはICカードやナンバーキー等による入退室管理を、そして取扱区域に関しては座席配置等の工夫により、関係者以外を物理的に遮断していくことが、管理方法の基本形として考えることができます。
加えて、管理区域、取扱区域には業務上許可されたもの以外、記録機能のついた機器や媒体の持込を禁止し、入退室時に所持品チェックを行うことも重要です。
マイナンバーにおいて取扱区域と管理区域はややこしいですが、別の概念なので注意しましょう。それぞれマイナンバーを取り扱う事務ごとにどの区域で行うものなのか細かく見直す必要があります。

取扱区域の作り方!区域の明示と作業中の明示が重要!

 (43393)

間仕切りは義務ではない!取扱区域とわかることが重要!

要は、壁、間仕切り、あるいは、ついたてなどで明確にわかるようにした方が望ましいというものです。壁や間仕切りは義務ではないのですが、大がかりでなくても、何かしら周りの人にも分かるように明示的な工夫をした方が良いでしょう。

少なくともマイナンバー担当者以外のスタッフの往来が少ない場所を「取扱区域」と指定すべきで、後から覗き込みされる可能性が低くなるような座席配置に工夫することが必要になります。

作業中はPOPなどを立てて他人を近づけないように!

これまで、私はいくつかのコールセンター、BPOの事務所を見ていますが、個人情報を取り扱う事務作業をしている時は、「ただ今、危険作業中」という円筒形や三角柱の卓上POPのようなものを立てている光景を見てきました。これは、「今は個人情報を取り扱っているので、話しかけたり、近寄ったりしないで下さい」という意味のものです。

機械やコンピュータはテストをしっかりと実施していれば、間違いを起こしませんが、人はちょっとした雑音や気の緩みでミスを犯してしまいます。

マイナンバーは、一般の社員はあまり見るべきではない危険物ですので、「取扱区域」を定めた上で、マイナンバー作業をしている時は他者を近づけない安全管理措置は、必要になってくるでしょう。

中小企業には安全管理措置における特例がいくつか認められていますが、取扱区域の設置は中小企業でも義務化されており免れることはできません。事務所の一角に取扱区域を設けるという場合は、あまり人が近寄らない場所に設置し取扱区域とはっきりわかるよう示すこと、作業中は人を近づけないようにすることが大切です。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする