1.マイナンバーの組織的安全管理措置
事業者は、マイナンバーの安全管理措置を講じるための組織体制を整備することが必要になります。
具体的に、組織体制として整備する項目は、次に掲げるものがあげられます。
(a)事務における責任者の設置及び責任の明確化
(b)事務取扱担当者の明確化及びその役割の明確化
(c)事務担当者が取り扱う特定個人情報等の範囲の明確化
(d)事務取扱担当者が取扱規程等に違反している事実または兆候を把握した場合の責任者への連絡体制
(e)情報漏えい事案の発生又は兆候を把握した場合の従業員から責任者等への報告連絡体制
(f)特定個人情報等を複数の部署で取扱う場合の各部署の任務分担及び責任の明確化
中小規模事業者における特例による対応方法(※例外)
事務取扱担当者が複数いる場合、責任者と担当者を区別することが推奨されます。
2.特定個人情報取扱規程等に基づく運用
まず、特定個人情報取扱規程等を作成し、それに基づく運用を確認するため、システムログまたは利用実績を記録します。
記録する項目としては、次のものがあげられます。
(a)特定個人情報ファイルの利用・出力状況の記録
(b)書類・媒体等の持ち出しの記録
(c)特定個人情報ファイルの削除・廃棄記録
(d)削除・廃棄を委託した場合、これを証明する記録等
(e)情報漏えい事案の発生又は兆候を把握した場合の従業員から責任者等への報告連絡体制
中小規模事業者における対応方法
特定個人情報等の取扱状況の分かる記録を保存します。
3.特定個人情報の取扱状況を確認する手段の整備
次に、作成された特定個人情報ファイルの取扱状況を確認するための手段を整備します。なお、確認するための記録等には、特定個人情報等は記載しません。取扱状況を確認するための記録としては、次のものがあげられます。
(a)特定個人情報ファイルの種類、名称
(b)責任者、取扱部署
(c)利用目的
(d)削除・廃棄状況
(e)アクセス権を有する者の名簿
中小規模事業者における対応方法
特定個人情報等の取扱状況の分かる記録を保存します。
4.特定個人情報の情報漏えい等事案に対応する体制の整備
マイナンバーは、いつ漏洩するかわかりません。そこで、情報漏えい事案の発生または兆候を把握した場合に、適切かつ迅速に対応するための体制を整備します。
情報漏えい等の発生時に、次のような対応を行うことを念頭に、危機管理体制を整備することが考えられます。
(a)特定個人情報ファイルの種類、名称
(b)責任者、取扱部署
(c)利用目的
(d)削除・廃棄状況
(e)アクセス権を有する者の名簿
中小規模事業者における対応方法
特定個人情報等の取扱状況の分かる記録を保存します。
5.取扱状況の把握及び完全管理の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組みます。
(a)特定個人情報等の取扱状況について、定期的に自ら行う点検、又は他部署等による監査を実施する。
(b)外部の主体による他の監査活動と合わせて、監査を実施することも考えられます。
中小規模事業者における対応方法
事業主など責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行います。