マイナンバー導入実務「安全管理措置②」

以下は、前回に続いて「安全管理措置の構築」の具体的な実施内容です。

PHM11_0715_1_burogu_br具体的な安全管理措置として、それぞれ「基本方針の策定」から始まって、「取扱規定の策定」、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」の措置を講ずる必要があります。

マイナンバー制度への対応は、任意でないことを社内で共有し、社内の業務全般を俯瞰でき、権限のあるものをトップとした対応チームの結成が重要です。

各規程の策定項目 内容のポイント
基本方針の策定 基本方針に定める項目の事例
・事業者の名称、安全管理措置に関する事項。関係法令等
の遵守に関する事項、苦情処理等の事項 など
取扱規定等の策定 ・事務の流れを整理し、特定個人情報等の具体的な取扱い
を定める取扱規定等を策定します。
・具体的に定める事項の例
①取得する段階 ②利用を行う段階 ③保存する段階
④提供を行う段階 ⑤削除・廃棄を行う段階 など
組織的安全管理措置 1)組織体制の整備
安全管理措置を講ずるための組織体制を整備します。
・責任の明確化、その役割や取り扱う情報等の範囲、
報告・連絡体制等の明確化など。2)実務的なポイント
・取扱規定に基づく利用実績を把握する記録の管理・保管
ファイル名や利用目的、責任者、アクセス権、削除・廃棄
状況などの整備3)情報漏えい等に対応する体制の整備
・情報漏えい等の事案の発生等を把握した場合に、適切
かつ迅速に対応するための体制を整備します。
・調査・原因究明、委員会・主務大臣への報告、再発
防止策の検討・公表等に対する整備。
・安全管理措置の評価、見直しおよび改善への対応。
人的安全管理措置 具体的には以下の措置を講ずる必要があります。
①事務取扱担当者の監督
特定個人情報等が取扱規定等に基づき適正に行われるよう
事務取扱担当者に対して適切な監督義務があります。
②事務取扱担当者の教育
適正な取扱いを周知徹底するとともに教育の実施を行う。
物理的安全管理措置 特定個人情報ファイルを取り扱う情報システムを管理する
「管理区域」、取り扱う事務を実施する区域「取扱区域」
を明確にして、物理的な安全管理措置を講じます。
①機器・電子媒体等の盗難等の防止措置を講ずる
②電子媒体等の持ち出しに関する漏えい防止策
③マイナンバー記載の機器、電子媒体等の廃棄策
技術的安全管理措置 事務取扱担当者及び当該事務で取り扱う特定個人情報
ファイルの範囲を限定するために、適切なアクセス制御等
の措置を講じます。
①アクセス者の識別と認証
ユーザーID,パスワード、ICカード等があげられます
②外部からの不正アクセス等の防止
ファイアウォール、セキュリティ対策ソフトの導入等
③情報漏えい等の防止
通信経路の暗号化、パスワードに保護等

ガイドラインやQ&Aの更新情報などの最新情報等を確認し、安全管理措置の見直しが必要となります。