安全管理措置の4類型の2番目、「人的安全管理措置」について説明します。情報漏えいの多くは、人的なミスによるものが多いのです。ここでは人的安全管理措置の2分類と、外部委託における安全管理について説明します。
人的安全管理措置
状右方漏えい事案の多くが、人的なミスに起因しているため、安全管理措置の中でも最も重要な観点であるといえます。
具体的には
①事務取扱担当者の監督
②事務取扱担当者の教育
があります。
どれだけ立派なセキュリティ体制を構築していても、それを管理運用する人にミスがあれば、全く意味がありません。
だからこそ、人的安全管理措置が重要となるのです。
また、人的安全管理措置は必要なコストが他の措置に比べて低めでありながら、その効果がもっとも大きなものです。
その上、実際に人が関わる分、効果や結果が目に見えやすく、評価や見直しが容易なものでもあります。
企業は従業員の教育・監督をしなくてはなりません。従業員に定期的な研修を行うほか、秘密保持に関する事項を就業規則などに盛り込むなどして、運用ルールを徹底する必要があります。
①事務取扱担当者の監督
②事務取扱担当者の教育
【手法の例示】* 特定個人情報等の取扱いに関する留意事項等について、従業者に定期的な研修等を行う。
* 特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込むことが考えられる。
中小規模事業者の特例はない
全ての事業所が措置を講じる必要があります。
委託先における安全管理措置
ガイドラインではマイナンバーの取得や提供要求については厳格な取り決めがありますが、マイナンバーを取扱う業務(源泉徴収票作成の事務、社会保険関係の書類を提出する事務、など)を外部に委託することについては禁止されていません。すなわち、マイナンバーを扱う業務を外部の税理士事務所、社会保険労務士事務所、ITベンダーなどに委託することは可能です。
個人情報に関しては、従来は委託者任せの部分がありましたが、マイナンバー制度においては、委託者と同等の措置を必要とします。
委託者は、委託先がどのような体制で個人情報を処理しているかを把握する必要があり、不十分であれば是正を求め、実際に改善しなければなりません。
マイナンバーの管理を第三者に委託したとしても、事業者には委託先を監督する責任があります。具体的には、本来自分たちに課されているはずの4種類の安全管理措置がしっかりと講じられているかどうかを監督する義務です。
そのため、リソースや技術的問題から外部に委託をする場合であっても、事業者の担当者はきちんとマイナンバーの管理についての知識を頭に入れておかなければならないというわけです。
①委託先の適切な選定
・委託先の設備
・技術水準
・従業者に対する監督、教育の状況
・その他委託先の経営環境
委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。
適切な委託先選定のポイントこれらは一概に言えませんが委託するシステム会社、社労士事務所(法人)、税理士事務所(法人)が下記のようなものを保持しているか等をチェックすることが1つの手段といえます。
① Pマーク
②個人情報保護規定
③ 安全管理規定
④ マネジメントシステム運用手順書
⑤ 個人情報一覧
⑥ リスク分析表
②委託先に安全管理措置を遵守させるために必要な契約の締結
•秘密保持義務
•事務所内からの特定個人情報の持ち出しの禁止
•特定個人情報の目的外利用の禁止
•再委託における条件
•漏洩事案等が発生した場合の委託先の責任
•委託契約終了後の特定個人情報の返却又は廃棄
•従業者に対する監督・教育
•契約内容の遵守状況について報告を求める規定
③委託先における特定個人情報の取扱状況の把握
このような場合は、ヒアリングシートなどを使用して、取扱状況を把握するとよいでしょう。