マイナンバー制度の安全管理措置
2015/07/17
(執筆者: 弁護士 岸野 正)
前回(2015.6.15)に続き、個人番号(マイナンバー)制度の運用開始に備えて必要となる事項についてご説明します。今回は、主に安全管理措置に関する部分を扱います。
◆適切な取り扱いのための安全管理措置
特定個人情報等の適正な取り扱いのために、以下の安全管理措置を講ずる必要があります。
※『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』(http://www.ppc.go.jp/legal/policy/)の『(別添)特定個人情報に関する安全管理措置』 C〜F参照。
1.組織的安全管理措置
�@組織体制を整備する(例:事務における責任者の設置と責任の明確化、事務取扱担当者の特定とその役割の明確化、取り扱う特定個人情報等の範囲の明確化等)。
�A取扱規程等に基づく運用状況を確認するために利用実績等を記録する(例:特定個人情報ファイルの利用・出力状況、書類・媒体等の持ち出し、情報システム取扱者の利用状況[ログ等]等)。
�B特定個人情報ファイルの取扱状況を確認する手段を整備する(例:特定個人情報ファイルの種類・名称、利用目的等の記録)。
�C情報漏洩等の事案発生または兆候を把握した場合に、適切かつ迅速に対応できる体制を整備する(例:事実関係の調査や原因の究明、影響を受ける可能性のある本人への連絡といった対応等を念頭に置いた体制)。
�D特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む(例:定期的な点検・監査の実施等)。
2.人的安全管理措置
組織体制の整備のほか、事務取扱担当者の監督や教育も必要です(例:定期的な研修、秘密保持条項を就業規則等に盛り込む等)。
3.物理的安全管理措置
�@情報漏洩等の防止のため、特定個人情報ファイルを取り扱う情報システムを管理する区域(管理区域)とその事務を実施する区域(取扱区域)を明確にする(例:管理区域における入室管理、持ちこみ機器の制限、取扱区域における壁や間仕切りの設置等)。
�A特定個人情報等を取り扱う機器及び電子媒体等の盗難等の防止のための措置を講じる(例:施錠付書庫等での保管、ワイヤ等による固定等)。
�B電子媒体等を持ち出す*場合、容易にマイナンバーが判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じる。
*「持ち出し」とは、管理区域・取扱区域外への移動をいい、事業所内での移動等も含まれる。
�C必要がなくなったマイナンバーは、速やかに復元できない方法で削除または廃棄する。マイナンバーもしくは特定個人情報ファイルを削除した場合、または電子媒体等を破棄した場合には、削除または破棄した記録を保存する(例:書類等は焼却または溶解等、電子媒体等は専用ソフト利用等)。
4.技術的安全管理措置
�@情報システムを使用してマイナンバー関係事務等を行う場合、適切なアクセス制御を行う(例:アクセス権でシステム利用者を事務取扱者に限定する等)。
�A情報システムは、事務取扱者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する(例:ID、パスワード等で識別)。
�B情報システムを外部からの不正アクセス等から防止する仕組みを導入し、適切に運用する(例:ファイアウォール、セキュリティソフト等の導入)。
�C特定個人情報等を外部に送信する場合、通信経路における情報漏洩等を防止するための措置を講じる(例:通信経路の暗号化、パスワード設定等)。
◆中小規模事業者の特例
実務への影響に配慮し、「中小規模事業者」(一部例外を除いた、従業員100人以下の事業者)には、安全管理措置についての特例が認められています。ただし、情報漏洩等の問題発生時の責任が軽減される趣旨ではないことはご留意ください。
※マイナンバーに関する詳細は、内閣官房の解説サイト(http://www.cas.go.jp/jp/seisaku/bangoseido/)をご覧ください。
