労務SEARCH(サーチ)

労務の課題を解決するオフィスステーションのメディア
powerde by オフィスステーション

Facebook twitter

メールマガジン無料登録

 

おすすめ記事やお役立ち資料をお届けします。

マイナンバー取扱いのガイドラインを復習して安全管理対策に取り組もう

平成28年1月にマイナンバー制度が開始され、約1年半が経ちました。人事労務担当者としてもマイナンバー(個人番号)の適切な安全管理に力を入れていく必要があります。

今回は、個人情報保護委員会のページ「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(https://www.ppc.go.jp/legal/policy/)を参考にしながら、個人情報保護法における安全管理措置(第20条)を踏まえて各安全管理措置を復習していきましょう。

安全管理措置の検討手順、安全管理措置の内容とは?

特定個人情報等を取り扱うにあたって、各事業者はマイナンバーや特定個人情報の漏洩、滅失、毀損等を防止するために安全管理措置を検討する必要があります。

この安全管理措置は、次の5つの手順を基に内容を検討することとしています。

  1. 個人番号を取り扱う事務の範囲の明確化

    個人番号関係事務または個人番号利用事務の範囲を明確にしておかなければなりません。

  2. 特定個人情報等の範囲の明確化

    上記(1)で明確化した事務において取り扱う特定個人情報等の範囲を明確にしておかなければなりません。

  3. 事務取扱担当者の明確化

    上記(1)で明確化した事務に従事する事務取扱担当者を明確にしておかなければなりません。

  4. 基本方針の策定

    特定個人情報等の適正な取り扱いの確保について組織として取り組むために基本方針を策定することが重要です。

  5. 取扱規程等の策定

    (1)〜(3)で明確化した事務における特定個人情報等の適正な取り扱いを確保するために取扱規程等を策定しなければなりません。

取扱規程等の策定とはどのようなもの?

続いて、前項の手順(5)で挙げた「取扱規程等の策定」について紹介します。これは、事務における各段階で特定個人情報の取扱い方法、責任者及び取扱い担当者、そして、担当者の具体的な任務の内容を定めます。

この内容については、下記の2つの手法を例に挙げてご紹介します。

例1)取扱規程等は次の1~5の管理段階ごとに、取扱方法、責任者と事務取扱担当者および、その任務等について定めることが考えられます。

  1. 特定個人情報を取得する段階
  2. 特定個人情報を利用する段階
  3. 特定個人情報を保存する段階
  4. 特定個人情報を提供する段階
  5. 特定個人情報を削除、廃棄する段階

例2)源泉徴収票等を作成する事務の場合は、次の1~7のような事務フローに基づき手続を明確にしておくことが重要です。

  1. 従業員から受け取った書類等をどのように取りまとめるか
  2. 取りまとめた書類等の源泉徴収票等を作成する部署へどのように移動させるか
  3. 情報システムへのマイナンバーを含むデータをどのように入力するか
  4. 源泉徴収票等の作成方法
  5. 源泉徴収票等の行政機関への提出方法
  6. 受け取った書類等や源泉徴収票等の控え、情報システムで取り扱うファイル等をどのように保存するか
  7. 法定保存期間が経過した提出書類等や源泉徴収票等の控えをどのように破棄、削除するか

組織的安全管理措置とはどのようなもの?

先ほど紹介した、取扱規程等の策定には「組織」「人」「物理」「技術」という4つの分野に関する安全管理措置が含まれます。ここからは、4つの各安全管理措置の内容にについて紹介します。

組織的安全管理措置とは

特定個人情報を安全に取り扱うため、下記の内容を取り入れた組織体制を整える安全管理措置となります。

  • 組織体制の整備

    特定個人情報等を取り扱う事務において、責任者、担当者を決め、その責任や役割、取り扱う情報の範囲を明確にします。また、担当者が取扱規定等に違反した場合や、情報漏洩等の事案が発生した場合の責任者への報告連絡体制を整えます。

  • 取扱規定等に基づく運用

    運用を行うとともに、その状況を確認するため、特定個人情報ファイルの利用や出力状況、書類または電子媒体等の持ち運び、特定個人情報ファイルの削除と廃棄、事務取扱担当者の情報システムの利用状況、削除または廃棄を委託した場合これを証明するもの等の記録を行います。

  • 取扱状況を確認する手段の整備

    特定個人情報ファイルの取扱状況を確認するための手段を整備します。なお、取扱状況を確認するための記録等には、特定個人情報等は記入してはなりません。

  • 情報漏洩等事案に対応する体制の整備

    万が一、情報漏洩等の事案が発生した場合は二次被害の防止、類似事案の発生防止等の観点から、事案に応じて事実関係と再発防止策等を早急に公表することが重要です。

  • 取扱状況の把握及び安全管理措置の見直し

    特定個人情報等の取扱状況を把握し、定期的に自ら点検を行うことや、他部署等による監査を実施することで、安全管理措置の評価と見直し、改善に取り組みます。

人的安全管理措置とはどのようなもの?

人的安全管理措置とは

先ほどは組織としての管理方法についてでしたが、こちらは実際に特定個人情報を取り扱う個人に対しての安全管理措置となります。人的安全管理措置には大きく分けて「担当者の監督」と「担当者の教育」という2つの項目が設定されています。

  • 担当者の監督

    事務における取扱い担当者に対して、取扱規程等に基づいて適正に特定個人情報等を扱っているか、必要かつ適切な監督を行わなければなりません。

  • 担当者の教育

    事務における取扱い担当者に対して、特定個人情報等の適正な取扱いを周知徹底し、適切な教育を行わなければなりません。

物理的安全管理措置とはどのようなもの?

物理的安全管理措置とは

特定個人情報ファイルを取り扱う情報システムを管理する区域(以下:管理区域)と、特定個人情報等を取り扱う事務を実施する区域(以下:取扱区域)を明確にし、下記の2つの項目に対して行う物理的な安全措置となります。

  • 管理区域、取扱区域の機器、電子媒体の盗難等を防止する

    区域内における特定個人情報等を取り扱う機器や電子媒体、書類等を施錠できるキャビネット、書庫等に保管することで盗難等を防ぐことができます。

  • 電子媒体や書類の取り扱いにおける情報漏洩を防止する

    電子媒体による特定個人情報等を区域外へ移動させる場合、持ち運ぶデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用、追跡可能な移送手段の利用することで情報漏洩を防ぐことができます。また、書類の場合はしっかりと封緘することや、情報部分をマスキングすると良いでしょう。

技術的安全管理措置とはどのようなもの?

技術的安全管理措置とは

ほとんどの事業所で、特定個人情報の管理はパソコンなどを利用してシステム上で行っているのではないでしょうか。技術的安全管理措置は、このような情報システムに対するセキュリティ対策を行う技術的な安全管理措置となります。この対策には下記項目の内容を取り入れなければなりません。

  • アクセス制御

    特定個人情報が誰でも簡単にアクセスできる状況であってはいけません。そのために事業所はアクセス権を付与したり、情報へのアクセスを担当者のみに限定したりするといった対応をする必要があります。

  • アクセスの識別、認証

    IDやパスワードICカードなどを別個に発行するなどした場合、担当者であることが識別できるようになります。

  • ウィルスソフトの導入、アップデート

    近年ウィルスによるデータの破壊や、アクセスができなくなってしまうといった事態が起こっています。そのため、ウィルスをはじめとする、外部からの不正アクセスから情報を守る手段が必要となります。

  • 不正アクセスの防止

    不正アクセスと同時に情報漏洩に対しても防止策を講じておく必要があります。例としては情報の通信経路からの漏洩を防ぐために通信経路を暗号化するといった措置が挙げられます。

不正アクセスは世界中のどこからでも可能なため、しっかりと管理措置を策定しておく必要があります。

まとめ

ここまで特定個人情報の取り扱いガイドラインについて具体例を交えながら紹介してきました。特定個人情報は言うまでもなく非常に重要な情報であり、これをさまざまな危険から守るのは事業所の大切な役割のひとつです。

安全管理措置をしっかりと策定し、担当者への教育および監督を周知徹底できるようにしましょう。特定個人情報を守ることは自分たちの事業所を守ることにもつながります。

岡 佳伸|社会保険労務士 岡 佳伸 事務所

1冊で労務手続きのすべてが分かるかんたんガイド

労務SEARCHを運営するオフィスステーションより、労務手続きのためのe-bookをお届けします。複数ある労務手続きをわかりやすく1冊にまとめたe-bookです。

今なら30日間お試し無料!電子化で労務が一変
各種簡単ガイド一覧はこちら