マイナンバーに関する事業者の組織的安全管理措置・人的安全管理措置
IT・情報セキュリティマイナンバーに関する事業者の組織的安全管理措置・人的安全管理措置について教えてください。
組織的安全管理措置を講じるにあたって、事務取扱担当者や責任者以外の者が、特定個人情報等を取り扱わないようにする管理が必要です。事業者の事業内容や規模に応じた対応が重要であり、一律の組織体制が求められるわけではありません。
人的安全管理措置について、事業者は、特定個人情報等の適正な取扱いのために、取扱担当の監督、教育を行わなければなりません。
なお、組織的安全管理措置については、中小企業の特例が認められています。
解説
目次
組織的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければなりません。
この安全管理措置については、個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報ガイドライン)の中の「(別添)特定個人情報に関する安全管理措置(事業者編)」(安全管理措置ガイドライン) C組織的安全管理措置において、詳細に解説されているので、こちらをよく確認することが必要です。
組織体制の整備
一般事業者における対応方法
安全管理措置を講ずるための組織体制を整備する必要があります。
組織体制として整備する項目は、次に掲げるものが挙げられます。
- 事務における責任者の設置および責任の明確化
- 事務取扱担当者の明確化およびその役割の明確化
- 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
- 事務取扱担当者が取扱規程等に違反している事実または兆候を把握した場合の責任者への報告連絡体制
- 情報漏えい等事案の発生または兆候を把握した場合の従業者から責任者等への報告連絡体制
- 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担および責任の明確化
事務取扱担当者や責任者以外の者が、特定個人情報等を取り扱わないようにする管理が必要です。
事業者の事業内容や規模に応じた対応が重要であり、一律の組織体制が求められるわけではありません。
中小規模事業者における対応方法
中小規模事業者については、以下の対応方法を講ずることとされています。
取扱規程等に基づく運用
一般事業者における対応方法
取扱規程等に基づく運用状況を確認するため、システムログまたは利用実績を記録することとされています。
安全管理措置ガイドラインにおいては、「手法の例示」として、記録する項目として、次に掲げるものが挙げられています。
* 記録する項目としては、次に掲げるものが挙げられる。
- 特定個人情報ファイルの利用・出力状況の記録
- 書類・媒体等の持出しの記録
- 特定個人情報ファイルの削除・廃棄記録
- 削除・廃棄を委託した場合、これを証明する記録等
- 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
システムログや利用実績の記録を保存することは、取扱規程等に基づく確実な事務の実施、情報漏えい等の事案発生の抑止、点検・監査および情報漏えい等の事案に対処するための有効な手段です。
記録として保存する内容および保存期間は、システムで取り扱う情報の種類、量、システムを取り扱う職員の数、点検・監査の頻度等を総合的に勘案し、適切に定めることが重要です。
なお、個人番号の取得時の本人確認についての記録については、番号法や安全管理措置ガイドラインで求められていませんが、事後的な検証のために記録をした方がよいと考えられます。
中小規模事業者における対応方法
中小規模事業者については、「特定個人情報等の取扱状況の分かる記録を保存する」こととされています。
「取扱状況の分かる記録を保存する」とは、例えば、以下の方法が考えられます。
- 業務日誌等において、例えば、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況を記録する。
- 取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。
取扱状況を確認する手段の整備
一般事業者における対応方法
特定個人情報ファイルの取扱状況を確認するための手段を整備する必要があります。 安全管理措置ガイドラインにおいては、「手法の例示」として、記録する項目として、次に掲げるものが挙げられています。なお、取扱状況を確認するための記録等には、特定個人情報等は記載してはいけません。
- 特定個人情報ファイルの種類、名称
- 責任者、取扱部署
- 利用目的
- 削除・廃棄状況
- アクセス権を有する者
中小規模事業者における対応方法
上記 1-3 の場合と同様、特定個人情報等の取扱状況の分かる記録を保存することが求められます。
情報漏えい等事案に対応する体制の整備
中小規模事業者以外の事業者における対応方法
情報漏えい等の事案の発生または兆候を把握した場合に、適切かつ迅速に対応するための体制を整備することとされています。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要です。
公表することは必ずしも義務付けるものではありませんが、事案に応じて適切に判断する必要があります。
- 情報漏えい等の事案の発生時に、次のような対応を行うことを念頭に、体制を整備することが考えられる。
- 事実関係の調査および原因の究明
- 影響を受ける可能性のある本人への連絡
- 委員会および主務大臣等への報告
- 再発防止策の検討および決定
- 事実関係および再発防止策等の公表
詳細については、「マイナンバーが漏えいした場合はどうすればよいか」をご覧ください。
中小規模事業者における対応方法
中小規模事業者については、「情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。」こととされています。
取扱状況の把握及び安全管理措置の見直し
一般事業者における対応方法
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直しおよび改善に取り組む必要があります。いわゆるPDCAサイクルです。
-
* 特定個人情報等の取扱状況について、定期的に自ら行う点検または他部署等による監査を実施する。
* 外部の主体による他の監査活動と合わせて、監査を実施することも考えられる。
「外部の主体による他の監査活動と合わせて、監査を実施すること」としては、例えば、個人情報保護または情報セキュリティに関する外部監査等を行う際に、特定個人情報等の保護に関する監査を合わせて行うこと等が考えられます。
中小規模事業者における対応方法
中小規模事業者については、「責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う」こととされています。
人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次の 2-1・2-2 に掲げる人的安全管理措置を講じなければなりません。なお、人的安全管理措置については、中小規模事業者の特例はありません。
事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うことが求められます。
事務取扱担当者の教育
事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行うことが求められます。
* 特定個人情報等の取扱いに関する留意事項等について、従業者に定期的な研修等を行う。
* 特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込むことが考えられる。
なお、マイナンバー制度は役職員全員にかかわるので、マイナンバー制度についての社内報や掲示板における周知については、事務取扱担当者のみならず、役職員全員に対して必要です。
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー