情報漏洩時の危機管理対策は大丈夫？内部プロセスを構築しよう！

安全管理措置とは、事業者が個人番号及び特定個人情報の漏洩、滅失又は毀損の防止等のために設定された措置のことです。マイナンバーは、この安全管理措置などが義務付けられます。

1. 個人番号を取り扱う事務の範囲を明確にする
事業者は、個人番号関係事務又は個人番号利用事務の範囲を明確にしておく必要があります。

2. 特定個人情報等の範囲を明確にする
事業者は、1で明確にした事務において取り扱う特定個人情報等の範囲を明確にしておく必要があります。

3. 事務取扱担当者を明確にする
事業者は、1で明確化した事務に従事する事務取扱担当者を明確にしておく必要があります。

4. 基本方針を策定する
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定する必要があります。

5. 取扱規程等を策定する
事業者は、1～3で明確にした事務における特定個人情報等の適正な取扱いを確保するために、取扱規程等を策定する必要があります。

会社は、特定個人情報が漏えいした場合に、
・内部での報告と被害の防止拡大
・事実関係の調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡等
・事実関係、再発防止策等の報告・公表
　といった措置をとることにより、被害の拡大を最小限にする必要があります。

もう1つ重要な点が、社内の内部プロセスの整備です。それにより、不正を起こそうとさえ思わせない風土作りが期待できます。

プロセス整備とは、

規程やルールの文書化
業務フローによる安全で確実な運用
リスクやコントロールの明確化
組織体制の整備
システムの構築など
具体的には次回以降の寄稿でも記しますが、例として、危機管理の業務フローを以下に記します。

危機管理の業務フローとは、情報漏えいなどの事故が発生した時に発動するフローです。できることならば、机上のプランだけで済ませ、全く発動しないでいて欲しいフローですが。しかし、前もって議論し、いざという時に正しく機能できるように体制を整えておくことは重要です。起きては困るけど、毎年、避難訓練を実施するのと似ています。

真っ先に判断しなければならないのが、その事故は、盗難または故意による情報流出といった事件性の高い案件なのか、それとも、書類の紛失であって事件性が低い事故であるのか、の判断です。

まず、漏えいが起きた場合、主務大臣などに報告をする必要がありますが、事業者によって報告の経路が異なります。個人情報取扱事業者の場合、主務大臣へ、個人情報取扱事業者ではない場合や主務大臣が明らかではない場合は、特定個人情報保護委員会へ報告することになります。

※ 個人情報取扱事業者以外の事業者が報告を要しないケース 次の1~4全てに当てはまる場合
1 影響を受ける可能性のある本人全てに連絡した場合 (本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。) 2 外部に漏えいしていないと判断される場合
3 事実関係の調査を了し、再発防止策を決定している場合
4 規則第2条に規定する重大事態に該当しない場合

○ 重大事態又はそのおそれのある事案が発覚した時点で、直ちに個人情報 保護委員会へ報告してください。(第一報)
(注) 「重大事態」とは、以下の場合を指します。
1 情報提供ネットワークシステム又は個人番号利用事務を処理する
情報システムで管理される特定個人情報の漏えい等が起きた場合。 2 漏えい等した特定個人情報の本人の数が101人以上である場合 3 電磁的方法によって、不特定多数の人が閲覧できる状態となった
場合
4 職員等(従業員等)が不正の目的で利用し、又は提供した場合