マイナンバー制度対策で、組織的安全管理措置について詳しくなろう！

1. 組織的対策

(1)個人データの安全管理措置を講じるための組織体制の整備
(2)個人データの安全管理措置を定める規程等の整備と規程等に従った運用
(3)個人データの取扱い状況を一覧できる手段の整備
(4)個人データの安全管理措置の評価、見直し及び改善
(5)事故又は違反への対処

実際の対策は (1) ～ (5) を更にブレークダウンして実施します。

セキュリティ対策全般に言えることですが、個人情報漏洩対策とは現場にとって面倒で、厄介なものです。管理や確認の手順が増え、慣れ親しんだ運用プロセスが変更になるのですから、大変です。

したがって、個人情報保護対策は、社長や担当取締役、執行役員が先頭に立ち、トップダウンの号令のもとで推進する必要があります。プロジェクトチーム、あるいは個人情報保護法対策室などの組織を設け、会社として最重要課題であることを全社員に知らしめ、実行させる必要があります。

「安全管理措置導入の準備」で明確にした事務でマイナンバーを取扱う際に、組織的な取組みで安全な管理を行わなければなりません。
そのための組織再編が、組織的安全管理措置であると言えます。
番号法のガイドラインでは、組織的安全管理措置を実施するために、以下の措置を事業者・団体に義務付けています。

取扱体制の整備
安全管理措置を講ずるための組織体制を整備する

取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する

取扱状況を確認するための手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備する

情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する

取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む

マイナンバー関連の業務範囲と担当者を決める。

まずはマイナンバーを取り扱う業務・担当者などを把握し、明確にするところからはじめます。
考えるべきポイントは次の３つです。

どのような業務でマイナンバーを取り扱うか。
マイナンバーの情報と合わせて管理することになる個人情報には何があるか（氏名・住所など）。
誰がマイナンバー関連の業務を担当するか。
前回のブログで説明したように、マイナンバーの使用目的は法律上限定されています。「税」・「社会保険」関連でマイナンバーが必要となる業務を洗い出し、担当者を確定しましょう。

事業者は、マイナンバーの安全管理措置を講じるための組織体制を整備することが必要になります。

具体的に、組織体制として整備する項目は、次に掲げるものがあげられます。

（a）事務における責任者の設置及び責任の明確化

（b）事務取扱担当者の明確化及びその役割の明確化

（c）事務担当者が取り扱う特定個人情報等の範囲の明確化

（d）事務取扱担当者が取扱規程等に違反している事実または兆候を把握した場合の責任者への連絡体制

（e）情報漏えい事案の発生又は兆候を把握した場合の従業員から責任者等への報告連絡体制

（f）特定個人情報等を複数の部署で取扱う場合の各部署の任務分担及び責任の明確化

取扱状況を確認する手段の整備
マイナンバーの取扱状況が、後々でも分かるような手段を用意することが求められています。取扱いの記録を残していくことが考えられますが、その記録自体にはマイナンバーを残さないような工夫が必要です。この場合も、コンピュータシステムであればログを参照するシステムは容易に実現できるため、コンピュータシステムでマイナンバーを取り扱う方が実務上の手間は少なくなると思われます。

b 取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利
○ 特定個人情報等の取扱状況の分かる記録を保存する。
用実績を記録する。

【取扱規程等に基づく運用】
取扱規程等に基づく運用を確認するため、システムログまたは利用実績を記録します。
　記録する項目としては、次のものがあげられます。
（a）特定個人情報ファイルの利用・出力状況の記録
（b）書類・媒体等の持ち出しの記録
（c）特定個人情報ファイルの削除・廃棄記録
（d）削除・廃棄を委託した場合、これを証明する記録等
（e）情報漏えい事案の発生又は兆候を把握した場合の従業員から責任者等への報告連絡体制
中小規模事業者における対応方法
特定個人情報等の取扱状況の分かる記録を保存します。