中小企業のトップだからこそ抑えておきたい、マイナンバー導入までの流れ
マイナンバーの安全管理を徹底させましょう。
マイナンバー制度の導入に向けて、あらかじめ準備を進めてください。
マイナンバーを含む個人情報の漏えい・紛失を防ぐために、事業内容や規模に合わせた対応をしましょう!
企業が行うべき特定個人情報の安全管理措置の検討
組織体制、担当者の監督、区域管理、漏えい管理、アクセス制御など
まずは特定個人情報について話し合いましょう。
1、組織体制の整備は何をすればいい?
(a)事務における責任者の設置及び責任の明確化(b)事務取扱担当者の明確化及びその役割の明確化
(c)事務担当者が取り扱う特定個人情報等の範囲の明確化
(d)事務取扱担当者が取扱規程等に違反している事実または兆候を把握した場合の責任者への連絡体制
(e)情報漏えい事案の発生又は兆候を把握した場合の従業員から責任者等への報告連絡体制
(f)特定個人情報等を複数の部署で取扱う場合の各部署の任務分担及び責任の明確化
つまりまず、「責任者やその役割を明確化」し、「責任の範囲を明確」にし、万が一の際の「連絡体制を構築」しておくこと。
「事務における責任者」は誰がやる?
番号法上のガイドラインでは、この責任者について、特に役職の指定などはありません。
しかし、昨今の重大な情報漏えい事件の発生等から、個人情報保護法上での「責任者」は、原則として役員や株式会社であれば取締役又は執行役が任命されるようにガイドラインが改正されています。
そうした関連法での対応との比較や、マイナンバーや特定個人情報の重大性を鑑みると、この「責任者」については、相応の立場の者をつける必要があると考えられます。
具体的には役員や事業主が責任者として対応すべきでしょう。
責任の重さからいって、相応の役職の人がやるのがふさわしいようです。
2、担当者の監督とは
会社で従業員にマイナンバーをはじめとする個人データを取り扱わせる際は、会社は従業員(事務取扱担当者)に対する監督を行わなければならない(個人情報保護法21条)
via www.rosei.jp
事務を行うのは人であり、多くの漏洩事故が人絡みで起きると想定されることから、この人的安全管理措置は安全管理措置の中でも最も重要なものです。監督者も事務取扱担当者も、それぞれ自己の職責と特定個人情報を取り扱うことに関して、重要性を自覚することが人的安全管理措置の基礎となります。
3、区域管理とは?
情報管理の問題に関しては、新しく「管理区域」と「取扱区域」という概念が生まれ、区域による管理の方策を講じるよう明示されています。「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域で、サーバールームのような場所です。もう一方の「取扱区域」とは、特定個人情報を取り扱う事務を実施する区域で、総務部や経理部などの一般的な事務オフィスのような場所をいいます。
これまでの情報管理は主に「管理区域」で厳格に実施されていましたが、マイナンバー法の下では、「取扱区域」においても物理的な安全管理の措置を講じなければならないとされています。たとえば、壁や間仕切り等の設置や座席配置の工夫を行うといったことで、座席配置工夫の例を挙げると、事務取り扱い担当者以外の往来が少ない場所の座席配置や、後ろからのぞき見される可能性が少ない場所への座席移動等が考えられます。
4、漏えい管理とは
情報漏洩を徹底的に防ぐために対策が必要です。
例えばこんなことに悪用される。
海外のマイナンバー情報漏洩事例
海外のマイナンバー情報漏洩事例
番号(マイナンバー)の情報漏洩による事件・不法移民が職につくために盗難や不正利用
・亡くなった人の番号を使って生命保険の不正受給
・他人の口座に報酬を払い込んだことにした所得税の脱税
・税の還付金を不正受給
・子供の父兄に成りすまし、学校に入り込み児童誘拐
5、アクセス制御とは
特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定することが望ましい
機器に標準装備されているユーザー制御機能(ユーザーアカウント制御機能)により、情報システムを取扱う事務取扱担当者を限定することが望ましい
予め特定個人情報のデータにアクセスできる人を絞って、最低限の人間だけが触れられるようにしておくことが大切。
「例えば、マイナンバーにアクセスできるシステムは、全て特定個人情報を扱うシステムと見なされ、安全管理措置を講じるべき対象となります。同様にマイナンバーが参照できる人は、全てが個人番号関係事務実施者と見なされます。安全管理措置の対象を、特定のシステム/人に絞るには、データベースの権限管理/アクセス制御が不可欠なのです」