マイナンバーを取り扱うのには細心の注意を払わなければなりません。特に恐ろしいのがウイルス感染による流出、もし起こったらどうすればよいのでしょうか。
どのようにウイルスに感染する?
via www.photo-ac.com
最近は何気ない文面のメールが標的型ウイルスとして送られてくるケースがあります。
日本年金機構の情報漏えいも同じ、全く自然なメールだったため職員は注意せず開いてしまい感染してしまいました。
感染したパソコンに不正アクセスされ、職員の共有フォルダに保存されていたデータが流出しました。
日本年金機構の情報漏えいも同じ、全く自然なメールだったため職員は注意せず開いてしまい感染してしまいました。
感染したパソコンに不正アクセスされ、職員の共有フォルダに保存されていたデータが流出しました。
ウイルス対策はどうする?
①ウイルス対策ソフトを導入し、自動アップデートで最新の状態を保つ
②プロバイダが提供するメールのウイルスチェックを利用する
③メールに添付されたファイルを確認する(拡張子など)
④メールソフト上ではHTMLメールを表示させないように設定する
⑤自動アップデート設定し、OSは最新状態を保つ
②プロバイダが提供するメールのウイルスチェックを利用する
③メールに添付されたファイルを確認する(拡張子など)
④メールソフト上ではHTMLメールを表示させないように設定する
⑤自動アップデート設定し、OSは最新状態を保つ
WindowsXPはサポートが終了しているので絶対使わないようにしましょう。
感染したら?
1.事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含
む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号
法違反のおそれのある事案が発覚した場合には、次の事項について必要な措
置を講ずることが望ましい。
(1) 事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合
には、その原因の究明を行う。
(3) 影響範囲の特定
(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施
(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か
ら、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り
得る状態に置く。
(6) 事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か
ら、事実関係及び再発防止策等について、速やかに公表する。
マイナンバー制度では事業者の特定個人情報が漏えいした場合の対応も定められています。
要点としては「流出の拡大を防ぐ」「本人・関係省庁に報告」「原因究明・再発防止案の検討」「事実・対策案の公表」となります。
報告はどうするのか?
マイナンバー制度では報告の方法や時期も定められています。
報告の方法
(1) 報告の方法
ア 個人番号又は特定個人情報の漏えいなど主務大臣のガイドライン等において報告対象となる事案の場合事業者が個人情報取扱事業者(注1)に当たる場合、当該事業者は主務大臣のガイドライン等の規定に従って報告する。この場合、報告を受けた主務大臣等(注2)又は主務大臣のガイドライン等に従い主務大臣等への報告に代えて報告を受けた「個人情報の保護に関する法律」(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 37 条第1項に規定する認定個人情報保護団体は、特定個人情報保護委員会にその旨通知する。
なお、これらの場合、主務大臣等の求めにより個人情報取扱事業者が直接特定個人情報保護委員会へ報告しても差し支えない。
(注1)個人情報取扱事業者以外の事業者が主務大臣のガイドライン等の規定に従う場合には、当該事業者を含む。
(注2)主務大臣のガイドライン等に報告先として規定されている個人情報保護法第 51 条、「個人情報の保護に関する法律施行令」(平成 15 年政令第 507 号)第 11 条の規定により事務を処理する地方
公共団体の長等を含む。イ 個人情報取扱事業者以外の事業者又は主務大臣が明らかでない個人情報取扱事業者における個人番号又は特定個人情報の漏えいなどの事案であって、報告する主務大臣等を直ちに特定できない場合特定個人情報保護委員会に報告する。
ウ その他、個人番号の利用制限違反など番号法固有の規定に関する事案等の場合特定個人情報保護委員会に報告する。
ここで重要なのが事業でマイナンバーをどう取り扱っているのかによって報告先が変わることです。
個人情報取扱事業者、つまり委任業務などマイナンバーをデータベース化して事業を行っている場合は主務大臣へ報告することになります。
それ以外、人事や税務関係でしかマイナンバーを取り扱わない事業者は特定個人情報保護委員会に報告になります。
それぞれ流れが異なりますので、違いを把握する必要がありますね。
報告の時期
(2) 報告の時期
ア 速やかに報告するよう努める。
イ アにかかわらず、特定個人情報に関する重大事案(注)又はそのおそれがある事案が発覚した時点で、直ちにその旨を特定個人情報保護委員会に報告する。
(注) 「重大事案」とは、①情報提供等事務を実施する者の情報提供ネットワークシステムから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)、②事案における特定個人情報の本人の数が 101 人以上である場合、③不特定多数の人が閲覧できる状態になった場合、④従業員等が不正に持ち出したり利用したりした場合、⑤その他事業者において重大事案と判断される場合を指す。
発覚した時点から、重大な事案が発覚する度に報告する必要があります。
重大な事案とは…
・マイナンバー事務を行う者のPCから情報漏えいした場合
・情報漏えいの影響を受ける人数が101人以上であると発覚した場合
・不特定多数の人間が情報を閲覧できるようになった場合
・従業員の不正な持ち出しや利用が発覚した場合
・その他事業者が重大であると判断した場合
報告を要しない場合
(3) 特定個人情報保護委員会への報告を要しない場合
個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場合は、特定個人情報保護委員会への報告を要しない。
①影響を受ける可能性のある本人全てに連絡した場合
②外部に漏えいしていないと判断される場合
③従業員等が不正に持ち出したり利用したりした事案ではない場合
④事実関係の調査を了し、再発防止策を決定している場合
⑤事案における特定個人情報の本人の数が 100 人以下の場合
一部の場合は報告を必要としない場合もあります。
上の条件を「全て」満たしている必要があるので、発覚した瞬間からの迅速な対応が必須です。
上の条件を「全て」満たしている必要があるので、発覚した瞬間からの迅速な対応が必須です。
総務省の公式ページで詳細がありますので確認が必要です。