特定個人情報保護委員会から2015年9月28日に発表されているQ&Aを、さらにわかりやすくなるようにまとめてみました。
PCでの保管にも不安があります。
2:番号法違反の事案又は番号法違反のおそれのある事案を把握した場合の報告Q2-5
特定個人情報を処理しているパソコンがウイルス感染したことが発覚した場合、重大事案にある「①情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)」に当てはまるのですか。
A2-5
「情報提供等事務を実施する者の情報提供ネットワークシステム」とは、番号法第19条第7号の規定による特定個人情報の提供の求め又は提供に関する事務を情報提供ネットワークシステムを使用して行うことを前提とした場合ですので、当該情報提供ネットワークシステムに接続しない事業者において使用している情報システムからの情報漏えい等は該当しません。
ただ単に、保管しているPCがウイルスを感染しただけでは情報漏えいの事案にはなりません。
マイナンバーの送付開始がせまるなか、マイナンバー制度に対応し、大手ITベンダーから給与などのパッケージソフトにいたるまで、様々なシステムが発表されています。中小企業で従来から給与システムを利用している場合、多くは同じベンダーの給与システムのマイナンバー対応のバージョンアップを待ち、その内容に応じてマイナンバーを管理するように予定されているのではないかと思われます。
このように、特に給与面のシステムや保存場所で、企業は対応を迫られています。
的確な対応を行い、不備がないようにしましょう。
的確な対応を行い、不備がないようにしましょう。
見られたかもしれない、という状況では。
Q2-6
重大事案にある「③不特定多数の人が閲覧できる状態になった場合」とは、具体的にどのような場合ですか。また、特定個人情報が記載されている書類を紛失した場合も当てはまるのですか。
A2-6
「不特定多数の人」は、事業者(委託先で特定個人情報を取り扱う従業者を含む。)以外の者が前提ですので、事業者において、誤ってインターネット上に特定個人情報を掲載した場合や情報システムに保存した特定個人情報が事業者の外部から容易にアクセス可能な状態になっていた場合を想定しています。なお、アクセスログなどにより閲覧がなかったことを確実に確認できた場合には、「重大事案」には含まないものと解されます。また、特定個人情報が記載されている書類を紛失した場合は、ここでの「不特定多数の人が閲覧できる状態になった場合」には含まれませんが、他の重大事案の類型に該当しないか確認する必要があります。
つまり「誰かが見た」という記録がなければ問題がない、ということです。
もちろん、閲覧できる状況を作らないに越したことはありませんね。
もちろん、閲覧できる状況を作らないに越したことはありませんね。
保管、管理は厳格に。
特定個人情報も個人情報の一部なので、原則として個人情報保護法が適用されます。さらに特定個人情報は、マイナンバーによって名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を番号法で上乗せしています。また、番号法の保護措置は、個人情報保護法が適用されない小規模な事業者にも適用されます。
マイナンバーを施錠管理していたとしても、鍵の管理者が曖昧であれば、安全な保管とはいえない。そのようなことがないよう、取扱者・責任者を明確化しよう。
金庫などにしっかりしまう、担当者のみの取り扱いを厳守する。
社内の制度をしっかり作るようにしましょう。
社内の制度をしっかり作るようにしましょう。