平成27年6月1日
26.マイナンバー制施行に向けた人事総務対策について④
前回は、従業員からのマイナンバーの利用や提供、廃棄の各段階について留意すべき点についてお話しました。
今回は、マイナンバーの安全管理措置についてお話をさせていただきます。
今までお話したとおり、マイナンバーは企業の各場面で幅広く利用されることになります。そして、マイナンバーは12桁の数字の羅列であるため、簡単にコピーや記録ができ、不正やなりすまし等のおそれがあるため、情報漏洩には細心の注意と対策が必要となります。
この点、政府は、マイナンバーに関わる個人情報保護がきちんと行われているかを監視・監督する機関として、「特定個人情報保護委員会」という他の省庁等から独立した専門組織を作りました。そして、特定個人情報保護委員会では、具体的な安全管理の方策について様々なガイドラインを発表しています(詳細はhttp://www.ppc.go.jp/legal/policy/をご覧下さい)。中でも「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に添付されている「特定個人情報に関する安全管理措置(事業者編)」が参考になりますので、以下、ガイドラインに沿って簡単に内容をご紹介します。
基本方針の策定
まずは、特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要となります。基本方針を策定することで従業員等への周知・研修を行いやすくなるというメリットがあります。
基本方針に定める事項としては、以下の項目が挙げられます。
・事業者の名称
・関係法令・ガイドライン等の遵守
・安全管理措置に関する事項
・質問及び苦情処理の窓口 など
取扱規程等の策定
基本方針があっても具体的な取扱規程がなければ意味がありません。そこで、マイナンバーを取り扱う事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定する必要があります。
取扱規程には、①取得、②利用、③保存、④提供、⑤削除・廃棄の各段階に応じて、後で述べる(1)組織的安全管理措置、(2)人的安全管理措置、(3)物理的安全管理措置、(4)技術的安全管理措置をそれぞれ織り込んで作成することが重要です。その際、適用対象者や目的、罰則を明確にする、曖昧な表現はなるべく避ける、実際の運用を意識して作成する、などの視点を忘れないようにしましょう。
以下、各安全管理措置について、特に中小規模事業者(従業員数が100人以下)に対しても最低限規定しておくべき内容を中心にお話しします。
(1)組織的安全管理措置
まず、組織体制の整備として、事務取扱担当者とその役割を明確化することが必要です。事務取扱担当者が複数いる場合は、責任者と事務取扱担当者を区分することが望ましいです。そして、マイナンバーの取扱状況の分かる記録(特定個人情報ファイルの種類、名称、利用目的、廃棄削除状況など)を保存し、責任者がその取扱状況について定期的に点検することが求められます。
また、情報漏洩等の事案の発生に備え、従業員から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておくことも重要です。
(2)人的安全管理措置
(1)で定めた事務取扱担当者の「監督」と「教育」が重要となります。 「監督」とは、例えば、秘密保持に関する事項を就業規則等の社内規程に盛り込んだり、業務内容を相互にチェックする体制を作ること、事務取扱担当者に対して定期的に監督を行う、などが考えられます。
「教育」は、情報セキュリティに関する研修を行い、その実施記録を残しておくことが考えられます。
(3)物理的安全管理措置
マイナンバーの情報漏洩等を防止するために、マイナンバーを取り扱う情報システムを管理する区域(管理区域)とマイナンバー取扱事務を実施する区域(取扱区域)を明確にし、管理区域への入退室管理(ICカード、ナンバーキー等)や取扱区域について壁や間仕切り等を設置するなどを行うことが理想ですが、少なくともマイナンバーが記載された電子媒体や書類を持ち出す場合には、パスワードの設定や、封筒に封入して鞄に入れて搬送するなど、紛失・盗難等を防ぐための安全な方策を講じることが必要です。
また、マイナンバー情報を削除・廃棄した場合は、その事実を責任ある立場の者が確認することが必要です。
(4)技術的安全管理措置
マイナンバー情報を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定したり、ユーザーアカウント制御機能により、情報システムを取り扱う事務取扱担当者を限定すること、が望ましいといえます。
以上のような各安全管理措置の導入を盛り込んだ取扱規程を策定し、実際に運用していくことになります。そして、導入した安全管理体制の内容や運用の適正性について、常に定期的に見直すようにしましょう。
なお、取扱規程は各事業者の実情に応じた策定でないと意味がありませんので、具体的な規程内容についてご相談されたい場合は、当事務所までご連絡いただければと思います。