マイナンバー制度に対応した中小規模事業者の安全管理措置
IT・情報セキュリティ中小規模事業者がマイナンバーに対応した安全管理措置を構築する場合、どのような点に注意すべきか教えてください。
中小規模事業者については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業員の数が限定的であることから、特例的な対応方法が認められています。
詳細は解説の内容をご参考ください。
解説
「中小規模事業者」とは
「中小規模事業者」とは、事業者のうち従業員の数が100人以下の事業者のことを言います。
ただし、以下の者は中小規模事業者から除外されます。
- 個人番号利用事務実施者
- 委託に基づいて個人番号関係事務または個人番号利用事務を業務として行う事業者
- 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
- 個人情報取扱事業者
事業者から個人番号に関する事務の委託を受けた社会保険労務士は、2に該当するので、小規模の事務所でも「中小規模事業者」には該当しません。
また、平成27年通常国会において成立した改正個人情報保護法により、個人情報取扱事業者の適用除外(個人情報保護法上の5,000人以下の例外)は同改正法の公布の日から2年以内の政令で定める日において廃止されることとされており、その場合、「中小規模事業者」に該当する事業者の取扱いが変更される可能性があることにご留意ください。
中小規模事業者については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業員の数が限定的であることから、特例的な対応方法が認められています。
一般事業者と中小規模事業者の安全管理措置の違い
一般事業者と中小規模事業者の安全管理措置の具体的な違いについては以下の表を参考としてください。
一般事業者と中小規模事業者の安全管理措置(参照:内閣官房・個人情報保護委員会作成資料)
| 一般事業者における安全管理措置 | 中小規模事業者における安全管理措置 |
|---|---|
| A 基本方針の策定 特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。 |
同左 →基本方針の策定は義務ではありませんが、作ってあれば従業員の教育に役立ちます |
| B 取扱規程等の策定 事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない。 |
○特定個人情報等の取扱い等を明確化する。 ○事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。 →業務マニュアル、業務フロー図、チェックリスト等に、マイナンバーの取扱いを加えることも考えられます。 |
| C 組織的安全管理措置 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければならない。 |
|
| a 組織体制の整備 安全管理措置を講ずるための組織体制を整備する。 |
○事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい。 →けん制効果が期待できる方法です。 |
| b 取扱規程等に基づく運用 取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。 |
○特定個人情報等の取扱状況の分かる記録を保存する。 →例えば、次のような方法が考えられます。
|
| c 取扱状況を確認する手段の整備 特定個人情報ファイルの取扱状況を確認するための手段を整備する。 なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。 |
|
| d 情報漏えい等事案に対応する体制の整備 情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。 情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。 |
○情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。 →業務遂行の基本、「ほうれんそう」(報告・連絡・相談) を確認しましょう。 |
| e 取扱状況の把握及び安全管理措置の見直し 特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。 |
○責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。 →事業者のリスクを減らすための方策です。 |
| D 人的安全管理措置 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければならない。 |
|
| a 事務取扱担当者の監督 事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。 |
同左 →従業員の監督・教育は、事業者の基本です。従業員にマイナンバー4箇条(本文末尾に記載)を徹底しましょう。 |
| b事務取扱担当者の教育 事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。 |
|
| E 物理的安全管理措置 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない。 |
|
| a 特定個人情報等を取り扱う区域の管理 特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。 |
同左 →事業者の規模及び特定個人情報等を取り扱う事務の特性等 によりますが、例えば、壁又は間仕切り等の設置及び覗き見されない場所等の座席配置の工夫等が考えられます。 |
| b 機器及び電子媒体等の盗難等の防止 管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。 |
同左 →事業者の規模及び特定個人情報等を取り扱う事務の特性等 によりますが、例えば、書類等を盗まれないように書庫等のカギを閉める等が考えられます。 |
| c 電子媒体等を持ち出す場合の漏えい等の防止 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。 「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある。 |
○特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 →置き忘れ等にも気を付けましょう。 |
| d 個人番号の削除 機器及び電子媒体等の廃棄 個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。 |
○特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。 →事業者のリスクを減らすために大切です。 |
| F 技術的安全管理措置 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。 |
|
| a アクセス制御 情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。 |
○特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。 ○機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。 →担当者以外の者に勝手に見られないようにしましょう。 |
| b アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。 |
|
| c 外部からの不正アクセス等の防止 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。 |
同左 →インターネットにつながっているパソコンで作業を行う場合の対策です。例えば、次のような方法が考えられます。
|
| d 情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。 |
同左 →インターネットにつながっているパソコンで作業を行う場 合の対策です。例えば、データの暗号化又はパスワードによる保護等が考えられます。 |
マイナンバー4箇条
取得・利用・提供のルール
個人番号の取得・利用・提供は、法令で決められた場合だけ
これ以外では、「取れない」「使えない」「渡せない」
保管・廃棄のルール
必要がある場合だけ保管
必要がなくなったら廃棄
委託のルール
委託先を「しっかり監督」
再委託は「許諾が必要」
安全管理措置のルール
漏えいなどを起こさないために
取得・利用・提供のルール
個人番号の取得・利用・提供は、法令で決められた場合だけ
これ以外では、「取れない」「使えない」「渡せない」
保管・廃棄のルール
必要がある場合だけ保管
必要がなくなったら廃棄
委託のルール
委託先を「しっかり監督」
再委託は「許諾が必要」
安全管理措置のルール
漏えいなどを起こさないために
渡邉 雅之弁護士
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー
1995年東京大学法学部卒業。2001年弁護士登録。主な取扱分野は、個人情報保護法、金融規制法、マネロン・テロ資金供与、民暴対策など。著作『個人情報保護法Q&A 令和5年施行対応』(第一法規、2023)、「クラウド例外とは? 行政指導事案・注意喚起にみるクラウドサービス利用時の留意点」ビジネスガイド2024年7月号、「「個人データの第三者提供」に関する「クラウド例外」をめぐる留意点」労務事情2024年6月1日号(1493号)、『テーマ別 金融パーソンのための規制とコンプラ対応』(共著)(中央経済社、2023)ほか。