中小企業のためのマイナンバー安全管理措置

事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいいます。
・個人番号利用事務実施者
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・金融分野（金融庁作成の「金融分野における個人情報保護に関するガイドライン」第１条第１項に定義される金融分野）の事業者
・個人情報取扱事業者

特定個人情報等の適正な取扱いの確保について、会社組織としての基本方針を策定することが重要です。これはガイドライン上、必須とされていませんが、簡単なものでもいいので出来るだけ定めるのが良いでしょう。

事務の流れを整理し、特定個人情報等の具体的な取扱いを規程やマニュアルとして文書化しなければなりません。
※中小規模事業者の場合は、特定個人情報等の取扱等を明確化し、事務取扱担当者が変更となった場合に確実に引継ぎを行い、責任ある立場の者がそれを確認するだけで足りるとされています。

事業者が特定個人情報等の適正な取扱いのために、組織的取り組みに必要な次のような事項を策定します。

組織体制の整備
取扱規程等に基づく運用
取扱状況を確認する手段の整備
情報漏えい等事案に対応する体制の整備
取扱状況の把握及び安全管理措置の見直し

中小規模事業者で事務取扱担当者が複数いる場合は、責任者と事務取扱担当者を区分することが望ましい、とされています。

中小規模事業者では上記条件は緩和されており、特定個人情報の取得状況が分かる記録を保存することでよいとされています。

※中小規模事業者では、情報漏洩等の事案の発生に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておくことでよいとされています。

中小規模事業者では、責任ある立場の者が、マイナンバー等の取扱い状況について、定期的に点検を行うことでよいとされています。

事業者は、特定個人情報等の適正な取扱いのために、次のような人事上の対応を求めています。

事務取扱担当者の監督
事務取扱担当者の教育

事業者は、特定個人情報等の適正な取扱いのために、機器や電子媒体等物理的なものへの安全管理措置が求められています。

特定個人情報等を取り扱う区画の管理
機器及び電子媒体等の盗難等の防止
電子媒体等を持ち出す場合の漏えい等の防止
個人番号の削除、機器及び電子媒体等の廃棄

中小規模事業者では、持ち出しの際はパスワードロックをかけたり封筒に封入し鞄に入れて運搬するなど、紛失・盗難を防ぐための方法をとることでよいとされています。

中小規模事業者では、マイナンバー等を削除・廃棄したことを責任ある立場の者が確認することでよいとされています。

事業者は、特定個人情報等の適正な取扱いのため、アクセス制御や情報漏えい対策等、次のような技術的な安全管理措置を講ずることが期待されています。

アクセス制御
アクセス者の識別と認証
外部からの不正アクセス等の防止
情報漏えい等の防止

特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定することが望ましい

機器に標準装備されているユーザー制御機能（ユーザーアカウント制御機能）により、情報システムを取扱う事務取扱担当者を限定することが望ましい

上記のように、アクセス制御及びアクセス者の識別と認証については、義務的ではなく「望ましい」とされています。

ですが、特定個人情報保護委員会の回答においては、ガイドラインに従った安全管理措置を行えば、それで十分であるとは明言されておりません。
（特定個人情報保護委員会「Q&A11-1」より）

このことから、例示されている程度の措置すら行っていない状態で情報漏えい等が生じた場合に、措置が義務的でないからと行って、事業者・団体の責任が軽くなるということは考えにくいと思われます。
技術的安全管理措置に限らず、マイナンバー関連の安全管理措置は、各事業者・団体の現状に応じたものを構築していくべきです。

ガイドラインや市販の書籍、あるいは弊所のものを含めたHP等の文面だけをなぞるのではなく、しっかりと分析検討を行った上で、安全管理措置を講じていきましょう。