企業関連

マイナンバーと特定個人情報に関する安全管理体制

2019.03.28

平成28年1月から、社会保障、税、災害対策の3分野で行政機関などに提出する書類にマイナンバーの記載が必要になりました。

マイナンバー制度において、多くの方が懸念しているのは「個人情報の漏えい」です。
マイナンバーを取り扱う側である事業者は、外部への漏えい・紛失を絶対防がなくてはなりません。
仮にマイナンバーの情報を漏えい・紛失してしまった場合は社会的信用を失うことにもつながります。そのため安全管理対策の徹底化は急務です。

事業者は、①組織的安全管理措置(組織的に管理する)②人的安全管理措置(人的に管理する)③物理的安全管理措置(物理的に管理する)④技術的安全管理措置(技術的に管理する)の4つの安全管理対策(措置)を講じる必要があります。
前者2つがソフト面、後者2つはハード面の対応と言えますが、今回はソフト面の安全管理対策について検討してみましょう。

1.組織的安全管理措置~組織体制、取扱規定

最初にすべきは、事務における責任者を決めることです。
そのあとに事務を行う担当者を決めて、担当者の役割と取り扱うマイナンバーや「特定個人情報(マイナンバーを含む氏名、生年月日、住所等の個人情報)」の範囲を明らかにします。

事業者はマイナンバーや特定個人情報を安全に取り扱うためのルールである取扱規定等を作成したら、これに基づく運用状況を確認するため、システムログや利用実績を記録する必要があります。
例えば、マイナンバーや特定個人情報に関して、以下のような行為を記録することが考えられます。

・ファイルの利用や出力の記録
・書類や媒体等の持ち出しの記録
・ファイルの廃棄や削除の記録
・情報システムのログインやアクセスログなどの記録

そして、もし担当者が取扱規定等に違反したり、情報漏えいなどがあったりした場合に責任者へ報告するための仕組みを整えます。
複数の部署で取り扱う場合における各部署の任務も明確にしましょう。

2.組織的安全管理措置~取扱状況の把握、情報漏えいなどへの対応

事業者は、マイナンバーや特定個人情報を記録したファイルの取扱状況を確認するための手段を整備する必要があります。
例えば、管理簿を作成し、「ファイルの種類」「名称」「責任者」「取扱部署」「利用目的」「作成日」「廃棄日」「廃棄や削除の状況」「アクセス権を有する者」などを記録する等です。
なお、取扱状況を確認するための記録などには、マイナンバーを記載しないようにしてください。

情報漏えいなどがあったり、その兆候を把握したりした場合に、適切に、且つスムーズに対応する仕組みを整える必要があります。
また、情報漏えいに伴う二次被害の防止などの観点から、再発防止策を早急に公表することが重要です。例えば以下のような対応を行うことを定めておくなどです。

・事実関係の調査及び原因の究明
・影響を受ける可能性のある本人への連絡
・特定個人情報保護委員会及び主務大臣などへの報告
・再発防止策の検討及び決定
・事実関係及び再発防止策などの公表

事業者はマイナンバーや特定個人情報の取扱状況の確認を定期的に行う必要があります。整備した対策は定期的に見直し、必要があれば改善しなければなりません。

3.人的安全管理措置

事業者は、マイナンバーの事務を行う担当者に対し、適切な教育を実施することが求められます。
マイナンバーの取り扱いの留意事項や、新たな制度などに関する研修を定期的に行うなど、常に教育をすることが重要です。

また事業者は、マイナンバーの事務担当者に対し、適切な監督を行うことが必要です。
マイナンバーや特定個人情報について、「秘密保持に関する事項」を就業規則や雇用契約書に盛り込むことなどで、担当者を監督できる体制を構築する必要があります。

4.中小規模事業者の対応

中小規模事業者でも、責任者と担当者を区別することで組織的に管理することが望ましいとされています。情報漏えいなどがあった場合に備え、従業者から責任者へ報告する仕組みを確認し、責任ある立場の者が定期的な点検を実施しましょう。

中小規模事業者の実務担当者には、取扱規定等に基づく運用状況の確認において、取扱状況がきちんと分かるように記録を保存することが求められます。
その方法として、管理簿や業務日誌などにマイナンバーや業務日誌などにマイナンバーなどの入手や廃棄、本人への交付などを記載したり、事務を行う際に利用したチェックリストを保存したりするなどが考えられます。
マイナンバーや特定個人情報の取扱状況の把握においても、同様の記録・保存が必要です。

5.まとめ

マイナンバーの安全管理体制においては、組織的に管理し、情報漏えいを防いでいくことが重要です。
中小規模事業者にも、マイナンバーの事務を行う実務担当者に対し、適切な教育や監督が求められます。
教育や監督の一環として、定期的に外部の専門家による研修等を活用するのも有効です。