マイナンバー安全管理に対する特例措置とは?

行政機関はもちろんですが、中小企業にもマイナンバーの適切な管理が求められます。しかし、ある条件を満たす中小企業には特例措置が適用されるそうです。

企業に求められる安全管理措置

 (33130)
企業は、マイナンバー及び特定個人情報の漏洩、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。

安全管理措置には6つあります

・基本方針の策定
・取扱規程等の策定
・組織的安全管理措置
・物理的安全管理措置
・技術的安全管理措置
・人的安全管理措置

中小企業に認められる特例

 (33134)
ガイドラインでは、中小規模事業者については、取り扱うマイナンバーの数量が少なく、事務担当者が限定されることから、安全管理に特例を認めています。たとえば、マイナンバーの取扱いや安全管理の見直しについて事業者に監査の実施を要求しているのですが、中小規模事業者の場合、責任者が定期的に点検するという簡便策が認められています。

特例措置の内容

 (33131)
1.組織的安全管理措置
責任者の設置、取扱担当者の明確化、取扱担当者が取り扱う特定個人情報の範囲の明確化など詳細な義務項目が定められているが、【中小規模事業者】にはそこまで細かい義務は求められていない。例えば取扱規程などに基づく運用状況の確認のために、システムログや利用実績を記録することが求められているが、中小企業の場合は、業務日誌等において取扱い状況等を記録するといった対応でもよいとされている。

2.物理的安全管理措置
特定個人情報等が記録された電子媒体または書類等を持ち出す場合には「容易に個人番号が判明しない措置の実施」「追跡可能な移送手段の利用」などの安全策が求められる。しかし、中小企業には「パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策」と緩やかな措置となっている。

3.技術的安全管理措置
特定個人情報に対するアクセス制御やアクセス者の識別と認証は中小企業には義務化されていない。
だが、現代のようにインターネットなど、ITを日常的に活用しながらで事業を営む環境では、情報システムの安全管理は中小企業にとっても重要な経営課題である。それゆえ、特定個人情報に対するアクセス制御、アクセス者の識別と認証、外部からの不正アクセス防止、情報漏えい防止などのような技術的安全管理は義務でなくても取り組むことが賢明である。

中小企業の条件

 (33135)
・従業員数が100名以下
・民間事業者である
・マイナンバーに関する業務委託を受けていない
・金融分野の事業者ではない
・個人情報取扱事業者ではない

特例措置が認められない条件とは

 (33137)
①個人番号利用事務実施者
健康保険組合等

② 委託に基づいて個人番号関係事務又は個人番号
利用事務を業務として行う事業者
税理士、社会保険労務士等

③ 金融分野(金融庁作成の「金融分野における個
人情報保護に関するガイドライン」第1条第1
項に定義される金融分野)の事業者
生命保険代理業、金融ファンド等

④ 個人情報取扱事業者
個人情報の取扱いが5000件を超える事業者

「特定個人情報に関する安全管理措置」の中小規模事業者における対応方法

マイナンバーガイドライン入門

マイナンバーガイドライン入門
こちらに本則の安全管理措置と中小企業の対応方法を比較した資料があるので参考にしてみてください。

まとめ

中小企業には、マイナンバーの取り扱い規模が小さいことから特例措置が適用されます。
ただし、中小企業でも特例措置が認められない場合もありますから、注意が必要です。
重要な個人情報に変わりはありません。特例が認められるとはいえ、その取り扱いは安全かつ慎重に行いたいですね。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする