中小規模事業者の情報セキュリティ対応


 マイナンバーを取り扱う際には、「安全管理措置」を講じることが義務づけられています。

 

 安全管理措置として何をしなければならないのか!

 特定個人情報保護委員会は「特定個人情報の適正な取扱いに関するガイドライン」を公表しています。

 

 ガイドラインでは、個人番号を取り扱う事務の範囲、特定個人情報等の範囲、特定個人情報等を取り扱う事務に従事する従業者(これを、事務取扱担当者といいます)を明確化した上で、以下の6つの措置を講じることを求めています。

  • 基本方針の策定
  • 取扱規程等の策定
  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置


中小規模事業者においては安全管理措置として以下を行う必要があります。

取扱規程の策定

  • 特定個人情報等の取扱い等を明確化する。
  • 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。


組織的安全管理措置

  • 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい。
  • 取扱規程等に基づく運用状況を確認するため、特定個人情報等の取扱状況の分かる記録を保存する。
  • 特定個人情報ファイルの取扱状況を確認するため、特定個人情報等の取扱状況の分かる記録を保存する。
  • 情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。
  • 責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。


人的安全管理措置

  • 特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。
  • 事務取扱担当者に、特定個人情報等の適正な取り扱いを周知徹底するとともに適切な教育を行う。


物理的安全管理措置

  • 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
  • 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。


技術的安全管理措置

  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

マイナンバー記事一覧