マイナンバーの利用は、個人を特定することや、様々な情報を紐つけることが可能になる反面、それが漏洩すると不正利用によるプライバシーの侵害の危険性が高まります。そのためマイナンバーの完全管理はしっかりと行わなければなりません。
安全管理措置
マイナンバーについては,漏洩、滅失、毀損の防止その他のマイナンバーの管理のために、必要かつ適切な安全管理措置を講じなければなりません。
安全管理措置の内容
T基本方針の策定
マイナンバーを取り扱う事務範囲、特定個人情報等に範囲、特定個人情報等の事務取扱者を踏まえて、適正な取扱いの確保について取り組むために、「基本方針」を策定することが重要になります。基本方針は策定が義務付けされていませんが、策定することにより組織として意識の統一になります。
記載内容としては、
@会社の名称
A関係法令等の遵守
B安全管理措置に関する事項
C質問及び苦情処理の窓口の設置
U取扱規定等の策定
中小企業では個人番号を取り扱う者が少数であり、事務フロー も単純であるから下記のように明確化すれば良いのではないかと思います。
V組織的安全管理措置
組織体制の整備 特定個人情報等を取り扱う場合の注意点
責任者の設置 責任範囲の明確化 事務取扱担当者の役割の明確化
取扱規定等に基づく運用、取扱状況を確認する手段の整備
情報漏えい等の事案に対応する体制の整備(従業者から責任者への報告連絡体制の整備)
取り扱い状況の把握及び安全管理措置の見直し(責任者が取扱状況について、定期的に点検を行う)
W人的安全管理措置
事務取扱担当者に対する監督
使用者の責任として従業員の監督を行うことが求められます。
事務取扱担当者に対する教育
特定個人情報等の取扱に関する留意事項などについて従業員に研修を行う。
特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込む。
X物理的安全管理措置
マイナンバーを取り扱うにあたって、特定個人情報等を記録しているパソコンなどの機器、書類等の安全な管理措置が求められます。
@特定個人情報等を取り扱う区域の管理 中小企業では1台のパソコンで管理する場合が多いので事務を実施する区域を管理すること(座席の工夫をして情報がもれないようにする)
A機器及び電子媒体等の盗難防止 施錠できる書庫等に保管、パソコンにパスワードの設定など
Bマイナンバーの削除、機器及び電子媒体などの廃棄
特定個人情報等を削除・廃棄した場合、盗難等でないことを明確にするため削除記録を保存することが求められます。また責任者が削除・廃棄したことを確認する。
Y技術的安全管理措置
@アクセス制御
特定個人情報を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。
Aアクセス者の識別と認証
特定個人情報の機器や取扱者を限定したり、ユーザー制御機能等を利用する。
B外部からの不正アクセスの防止
ネットを通しての不正アクセスを防止するために、ウイルス対策ソフトの更新等パソコンのソフトウエアを最新のものにすることが大切です。
C情報漏えいの防止
特定個人情報をインターネットなどで外部に送信する場合はパスワードによる保護やデーターの暗号化により情報漏えいの防止措置が必要になります。
TKCのPX2はマイナンバーに完全対応するようにバージョンアップする予定です。
次回は、会社の実務対応についてご紹介します。