1.マイナンバー制度対策と安全管理措置
個人番号関係事務実施者又は個人番号利用事務実施者である事業者は、個人番号及び特定個人情報 (以下 「特定個人情報等」といいます。)の漏えい、滅失又は穀損の防止等、特定個人情報等の管理のために、必要かつ適切な安全管理措置を講じなければなりません。
また、「従業者」に特定個人情報等を取り扱わせるにあたっては、特定個人情報等の安全管理措置が適切に講じられるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません。
(※「従業者」とは、業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいいます。具体的には、従業員のほか、取締役、査役、理事、監事、派遣社員等を含みます)
マイナンバー法は、「個人番号を利用できる事務の範囲人 「特定個人情報ファルを作成できる範囲」、「特定個人情報を収集・保管,提供できる範囲」を制限しています。
したがって、事業者は、個人番号及び特定個人情(以下 「特定個人情報等」といいます。)の漏えい、滅失又は毅損 (以下「情報漏えい等」という。)の防止等のための安全管理措置の検討にあたり、次に掲げる事項を明確にすることが重要です。
(安全管理措置において明確にすべき事項の3大要素)
1.個人番号を取り扱う事務の範囲
2.特定個人情報の範囲
3.特定個人情報を取り扱う事務に従事する従業者
2.4つの安全管理措置事項
個人情報保護法では4つの観点、すなわち「組織的」「人的」「物理的」「技術的」な安全管理措置を義務付けています。これらのより具体的な内容は、経済産業省のガイドラインに見ることができます。以下の項目について「講じなければならない事項」としています。
①組織的安全管理措置
組織的安全管理とは、安全管理について従業者(法第21条参照)の責任と権限を明確に定め、安全管理に対する規程や手順書(以下「規程等」という。)を整備運用し、その実施状況を確認することをいいます。
【組織的安全管理措置として講じなければならない事項】
(1)個人データの安全管理措置を講じるための組織体制の整備
(2)個人データの安全管理措置を定める規程等の整備と規程等に従った運用
(3)個人データの取扱い状況を一覧できる手段の整備
(4)個人データの安全管理措置の評価、見直し及び改善
(5)事故又は違反への対処
②人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。
【人的安全管理措置として講じなければならない事項】
(1)雇用契約時及び委託契約時における非開示契約の締結
(2)従業者に対する教育・訓練の実施
③物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。
【物理的安全管理措置として講じなければならない事項】
(1)入退館(室)管理の実施
(2)盗難等の防止
(3)機器・装置等の物理的な保護
④技術的安全管理措置
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。
【技術的安全管理措置として講じなければならない事項】
(1)個人データへのアクセスにおける識別と認証
(2)個人データへのアクセス制御
(3)個人データへのアクセス権限の管理
(4)個人データのアクセスの記録
(5)個人データを取り扱う情報システムについての不正ソフトウェア対策
(6)個人データの移送・送信時の対策
(7)個人データを取り扱う情報システムの動作確認時の対策
(8)個人データを取り扱う情報システムの監視
注意すべきは、これら4つの安全管理措置を「すべての項目に関し」行う必要があることです。
しかしながら、具体的にこのような安全管理措置をどこまで、どのように行っていったらいいか、ということになると、会社ごとに様々な問題がでてくると思います。
そこで、当事務所では、マイナンバーの4つの安全管理措置に関するコンサルティング、書類作成サービスを行っております。
マイナンバー制度における安全管理措置でお悩みの企業様は、まずはご相談ください。