マイナンバー導入実務「安全管理措置②」
以下は、前回に続いて「安全管理措置の構築」の具体的な実施内容です。
具体的な安全管理措置として、それぞれ「基本方針の策定」から始まって、「取扱規定の策定」、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」の措置を講ずる必要があります。
マイナンバー制度への対応は、任意でないことを社内で共有し、社内の業務全般を俯瞰でき、権限のあるものをトップとした対応チームの結成が重要です。
各規程の策定項目 | 内容のポイント |
基本方針の策定 | 基本方針に定める項目の事例 ・事業者の名称、安全管理措置に関する事項。関係法令等 の遵守に関する事項、苦情処理等の事項 など |
取扱規定等の策定 | ・事務の流れを整理し、特定個人情報等の具体的な取扱い を定める取扱規定等を策定します。 ・具体的に定める事項の例 ①取得する段階 ②利用を行う段階 ③保存する段階 ④提供を行う段階 ⑤削除・廃棄を行う段階 など |
組織的安全管理措置 | 1)組織体制の整備 安全管理措置を講ずるための組織体制を整備します。 ・責任の明確化、その役割や取り扱う情報等の範囲、 報告・連絡体制等の明確化など。2)実務的なポイント ・取扱規定に基づく利用実績を把握する記録の管理・保管 ファイル名や利用目的、責任者、アクセス権、削除・廃棄 状況などの整備3)情報漏えい等に対応する体制の整備 ・情報漏えい等の事案の発生等を把握した場合に、適切 かつ迅速に対応するための体制を整備します。 ・調査・原因究明、委員会・主務大臣への報告、再発 防止策の検討・公表等に対する整備。 ・安全管理措置の評価、見直しおよび改善への対応。 |
人的安全管理措置 | 具体的には以下の措置を講ずる必要があります。 ①事務取扱担当者の監督 特定個人情報等が取扱規定等に基づき適正に行われるよう 事務取扱担当者に対して適切な監督義務があります。 ②事務取扱担当者の教育 適正な取扱いを周知徹底するとともに教育の実施を行う。 |
物理的安全管理措置 | 特定個人情報ファイルを取り扱う情報システムを管理する 「管理区域」、取り扱う事務を実施する区域「取扱区域」 を明確にして、物理的な安全管理措置を講じます。 ①機器・電子媒体等の盗難等の防止措置を講ずる ②電子媒体等の持ち出しに関する漏えい防止策 ③マイナンバー記載の機器、電子媒体等の廃棄策 |
技術的安全管理措置 | 事務取扱担当者及び当該事務で取り扱う特定個人情報 ファイルの範囲を限定するために、適切なアクセス制御等 の措置を講じます。 ①アクセス者の識別と認証 ユーザーID,パスワード、ICカード等があげられます ②外部からの不正アクセス等の防止 ファイアウォール、セキュリティ対策ソフトの導入等 ③情報漏えい等の防止 通信経路の暗号化、パスワードに保護等 |
ガイドラインやQ&Aの更新情報などの最新情報等を確認し、安全管理措置の見直しが必要となります。