中小規模事業者における安全管理の特例措置


 各事業者で守るべき事項をまとめたガイドライン(特定個人情報保護委員会)には、「特定個人情報をに関する安全管理措置」という部分があり、事業者として実施しなければならない安全管理措置が記載されています。



 ≫ マイナンバーガイドライン入門(事業者編)(平成26年12月版)(特定個人情報保護委員会サイト)

 

 その中に、中小規模事業者(*)に対する配慮として、特例的に軽い対応でよいと記載されています。

 

 

中小規模事業者の特例内容


安全管理措置の内容(本則) 中小規模事業者における対応方法
取扱規程等の策定 事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱 規程等を策定しなければならない。
  • 特定個人情報等の取扱い等を明確化する。
  • 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任あ る立場の者が確認する。

組織的安全管理措置

    

 

組織体制の整備

安全管理措置を講ずるための組織体制を整備する。
  • 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分す ることが望ましい。
取扱規程等に基づく運用 取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。
  •  特定個人情報等の取扱状況の分かる記録を保存する。
取扱状況を確認する手段の整備 特定個人情報ファイルの取扱状況を確認するための手段を整備する。なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。
  • 特定個人情報等の取扱状況の分かる記録を保存する。
情報漏えい等事案に対応する体制の整備

情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。

情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。

  • 情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。
取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。
  • 責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。
物理的安全管理措置  電子媒体等を持ち出す場合の漏えい等の防止

特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。

「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある。

  • 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
個人番号の削除、機器及び電子媒体等の廃棄
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
  • 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
技術的安全管理措置
アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

 

 

 さらに、2015年5月には、小規模事業者向け マイナンバー導入チェックリストが内閣府より発表されました。このチェックリストでは、これまでの中小規模事業者の括り(従規100人以下)の内容に比べて、より具体的な内容になっています。

  

小規模事業者向け マイナンバー導入チェックリスト(平成27年5月版)(内閣府サイト)

 

 しかし、「うちは中小企業だからマイナンバー対応は軽い対応でいい」というような考え方が通用しないケースもあり得ますので、特例に該当する中小規模事業者かどうか、留意する必要があります。

  


* 中小規模事業者の定義

 事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいう。

  • 個人番号利用事務実施者
  • 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
  • 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
  • 個人情報取扱事業者

 

 


マイナンバー記事一覧