マイナンバーの特例措置や、委託先における注意点とは？

実務への影響をできる限り最小限にするために設けられたのが、特例措置です。しかし、特例措置があるからと言っても、マイナンバーを扱う点において逃れられない責任があります。

マイナンバーには適切な安全管理措置が必要

それ以外にも、従業者への適切な監督が必要とされています。

大企業より規模の小さい中小企業、特例によってマイナンバーに対する負担を軽減されていますが、運用に際し責任のある立場であることに変わりはありません。

マイナンバーは非常に重要な個人情報ですので、漏えい・滅失・毀損等の防止、その他の適切な管理のために、必要かつ適切な安全管理措置を講じる義務があります。番号法により、全ての事業者は、マイナンバーについて安全管理措置を講ずることとされています。担当者任せではなく、会社として取り組む必要があります。
via 中堅・中小企業がマイナンバー制度において取り組むべきこと｜企業マネジメント最新トレンド｜中堅・中小企業をサポートする経営喝力ビジネスIT活用index

委託をする場合であろうと、監督権は企業側にある

via webcache.googleusercontent.com

社会保障及び税に関する手続書類の作成事務の全部又は一部の委託をする者は、委託先において、法律に基づき委託者⾃らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
via 事業者のみなさまへ | 特集-マイナンバー：政府広報オンライン

○①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握
○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏
えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状
況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。
via http://www.ppc.go.jp/files/pdf/270213chusho.pdf

つまり委託先に丸投げするのではなく、委託先の選定やその環境、教育実態を監督者である委託者側の企業がしっかりと把握していなければなりません。

また委託先において間接的な監督義務を負うことから、委託先で重大な過失があった場合は責任を負うこともあります。

特例措置とは

1.組織的安全管理措置
　責任者の設置、取扱担当者の明確化、取扱担当者が取り扱う特定個人情報の範囲の明確化など詳細な義務項目が定められているが、【中小規模事業者】（※以下参照）にはそこまで細かい義務は求められていない。例えば取扱規程などに基づく運用状況の確認のために、システムログや利用実績を記録することが求められているが、中小企業の場合は、業務日誌等において取扱い状況等を記録するといった対応でもよいとされている。
※【中小規模事業者とは】
事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいいます。
・個人番号利用事務実施者
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・金融分野（金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野）の事業者
・個人情報取扱事業者
2.物理的安全管理措置
　特定個人情報等が記録された電子媒体または書類等を持ち出す場合には「容易に個人番号が判明しない措置の実施」「追跡可能な移送手段の利用」などの安全策が求められる。しかし、中小企業には「パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策」と緩やかな措置となっている。
3.技術的安全管理措置
　特定個人情報に対するアクセス制御やアクセス者の識別と認証は中小企業には義務化されていない。
　だが、現代のようにインターネットなど、ITを日常的に活用しながらで事業を営む環境では、情報システムの安全管理は中小企業にとっても重要な経営課題である。それゆえ、特定個人情報に対するアクセス制御、アクセス者の識別と認証、外部からの不正アクセス防止、情報漏えい防止などのような技術的安全管理は義務でなくても取り組むことが賢明である。
via 「マイナンバー制度」の基本（下）－中小企業でも課せられる義務と課題｜中小企業やベンチャー企業に役立つニュースをピックアップ　中小企業ニュース｜J-Net21[中小企業ビジネス支援サイト]

保有する個人情報の合計件数が5000件を超えない、つまり個人情報取扱事業者ではない中小企業には、簡易な対応が認められている。
via 企業でのマイナンバー対応、イマドキの3つの疑問 | SAFETY JAPAN [セーフティー・ジャパン] | 日経BP社

組織的安全管理措置とは

組織体制の整備
○ 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分する
via http://www.ppc.go.jp/files/pdf/270213chusho.pdf

取扱規程等の策定
○ 特定個人情報等の取扱い等を明確化する。
○ 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
業務マニュアル、業務フロー図、チェックリスト等に、マイナンバーの取扱いを加えることも考えられます。
via http://www.ppc.go.jp/files/pdf/270213chusho.pdf

via www.pakutaso.com

・業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況等を記録する。
・取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。
via http://www.ppc.go.jp/files/pdf/270213chusho.pdf

マイナンバーにおける責任のあるも立場を明確にし、組織だって対応するマニュアルがあると迅速に問題を対処することが可能に。

マニュアル作りのためも、マイナンバーに関する情報は常に日誌等に記載しておくことが重要。マイナンバーの取り扱いの一連の流れをリストアップしておくと業務が簡略化し、負担が軽減。

何よりも重要になのが、「ほうれんそう」の徹底。問題の共有と、責任者への報告がなさない事態にならないことが大切ですね。

via www.ipa.go.jp

物理的安全管理措置を考える

・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏洩等の防止
・個人番号の削除、機器及び電子媒体等の廃棄
via マイナンバー保管・管理対策　～物理的安全管理について～　 | Nedia What's up!

パスワードの設定などの他に、パーテンションで区切り担当者以外の者にマイナンバーが容易に見られないように工夫する必要性も。

via blog.goo.ne.jp

技術的安全管理措置について

サイバー・ソリューションズが開発した不正端末接続検知／遮断システム「NetSkateKoban Nano」と、キヤノンITソリューションズのウイルス対策ソフト「ESET」を連携させたサービスで、ウイルスの二次感染やデータの改ざん、情報漏えいといったリスクを回避するのに役立つ。また、ウイルスの駆除を確実に行うまで、端末がネットワークから切り離されているため、システム管理者は社内に侵入したウイルスの駆除や隔離、感染したPCの対応に専念できる。
via ウイルス感染PC、自動で社内ネットから隔離　中小企業の安全を確保 – ITmedia エンタープライズ

一度個人情報が流出してしまえば信用問題にかかわり、取引先や顧客に多大な迷惑を与えてしまう。また罰則を受けることで社会的な制裁も免れないため適切な対処が求められる……なんてことに。

業務用のパソコンとマイナンバー専用のパソコンは分けて使用し管理することで、ウィルス感染後の漏えいリスクを減らすことが可能。社内ネットワークから隔離して、マイナンバーを運用するのが理想的な安全策でしょう。