お約束
本コンテンツは労務SEARCHが独自に制作しており、公正・正確・有益な情報発信の提供に努めています。
詳しくはコンテンツ制作ポリシーをご覧ください。
もし誤った情報が掲載されている場合は報告フォームよりご連絡ください。
平成28年1月にマイナンバー制度が開始され、約1年半が経ちました。人事労務担当者としてもマイナンバー(個人番号)の適切な安全管理に力を入れていく必要があります。
今回は、個人情報保護委員会のページ「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を参考にしながら、個人情報保護法における安全管理措置(第20条)を踏まえて各安全管理措置を復習していきましょう。
目次
特定個人情報等を取り扱うにあたって、各事業者はマイナンバーや特定個人情報の漏洩、滅失、毀損等を防止するために安全管理措置を検討する必要があります。
この安全管理措置は、次の5つの手順を基に内容を検討することとしています。
個人番号関係事務または個人番号利用事務の範囲を明確にしておかなければなりません。
上記(1)で明確化した事務において取り扱う特定個人情報等の範囲を明確にしておかなければなりません。
上記(1)で明確化した事務に従事する事務取扱担当者を明確にしておかなければなりません。
特定個人情報等の適正な取り扱いの確保について組織として取り組むために基本方針を策定することが重要です。
(1)〜(3)で明確化した事務における特定個人情報等の適正な取り扱いを確保するために取扱規程等を策定しなければなりません。
続いて、前項の手順(5)で挙げた「取扱規程等の策定」について紹介します。これは、事務における各段階で特定個人情報の取扱い方法、責任者及び取扱い担当者、そして、担当者の具体的な任務の内容を定めます。
この内容については、下記の2つの手法を例に挙げてご紹介します。
例1)取扱規程等は次の1~5の管理段階ごとに、取扱方法、責任者と事務取扱担当者および、その任務等について定めることが考えられます。
例2)源泉徴収票等を作成する事務の場合は、次の1~7のような事務フローに基づき手続を明確にしておくことが重要です。
先ほど紹介した、取扱規程等の策定には「組織」「人」「物理」「技術」という4つの分野に関する安全管理措置が含まれます。ここからは、4つの各安全管理措置の内容にについて紹介します。
特定個人情報を安全に取り扱うため、下記の内容を取り入れた組織体制を整える安全管理措置となります。
特定個人情報等を取り扱う事務において、責任者、担当者を決め、その責任や役割、取り扱う情報の範囲を明確にします。また、担当者が取扱規定等に違反した場合や、情報漏洩等の事案が発生した場合の責任者への報告連絡体制を整えます。
運用を行うとともに、その状況を確認するため、特定個人情報ファイルの利用や出力状況、書類または電子媒体等の持ち運び、特定個人情報ファイルの削除と廃棄、事務取扱担当者の情報システムの利用状況、削除または廃棄を委託した場合これを証明するもの等の記録を行います。
特定個人情報ファイルの取扱状況を確認するための手段を整備します。なお、取扱状況を確認するための記録等には、特定個人情報等は記入してはなりません。
万が一、情報漏洩等の事案が発生した場合は二次被害の防止、類似事案の発生防止等の観点から、事案に応じて事実関係と再発防止策等を早急に公表することが重要です。
特定個人情報等の取扱状況を把握し、定期的に自ら点検を行うことや、他部署等による監査を実施することで、安全管理措置の評価と見直し、改善に取り組みます。
先ほどは組織としての管理方法についてでしたが、こちらは実際に特定個人情報を取り扱う個人に対しての安全管理措置となります。人的安全管理措置には大きく分けて「担当者の監督」と「担当者の教育」という2つの項目が設定されています。
事務における取扱い担当者に対して、取扱規程等に基づいて適正に特定個人情報等を扱っているか、必要かつ適切な監督を行わなければなりません。
事務における取扱い担当者に対して、特定個人情報等の適正な取扱いを周知徹底し、適切な教育を行わなければなりません。
特定個人情報ファイルを取り扱う情報システムを管理する区域(以下:管理区域)と、特定個人情報等を取り扱う事務を実施する区域(以下:取扱区域)を明確にし、下記の2つの項目に対して行う物理的な安全措置となります。
区域内における特定個人情報等を取り扱う機器や電子媒体、書類等を施錠できるキャビネット、書庫等に保管することで盗難等を防ぐことができます。
電子媒体による特定個人情報等を区域外へ移動させる場合、持ち運ぶデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用、追跡可能な移送手段の利用することで情報漏洩を防ぐことができます。また、書類の場合はしっかりと封緘することや、情報部分をマスキングすると良いでしょう。
ほとんどの事業所で、特定個人情報の管理はパソコンなどを利用してシステム上で行っているのではないでしょうか。技術的安全管理措置は、このような情報システムに対するセキュリティ対策を行う技術的な安全管理措置となります。この対策には下記項目の内容を取り入れなければなりません。
特定個人情報が誰でも簡単にアクセスできる状況であってはいけません。そのために事業所はアクセス権を付与したり、情報へのアクセスを担当者のみに限定したりするといった対応をする必要があります。
IDやパスワードICカードなどを別個に発行するなどした場合、担当者であることが識別できるようになります。
近年ウィルスによるデータの破壊や、アクセスができなくなってしまうといった事態が起こっています。そのため、ウィルスをはじめとする、外部からの不正アクセスから情報を守る手段が必要となります。
不正アクセスと同時に情報漏洩に対しても防止策を講じておく必要があります。例としては情報の通信経路からの漏洩を防ぐために通信経路を暗号化するといった措置が挙げられます。
不正アクセスは世界中のどこからでも可能なため、しっかりと管理措置を策定しておく必要があります。
ここまで特定個人情報の取り扱いガイドラインについて具体例を交えながら紹介してきました。特定個人情報は言うまでもなく非常に重要な情報であり、これをさまざまな危険から守るのは事業所の大切な役割のひとつです。
安全管理措置をしっかりと策定し、担当者への教育および監督を周知徹底できるようにしましょう。特定個人情報を守ることは自分たちの事業所を守ることにもつながります。
社会保険労務士法人|岡佳伸事務所の代表、開業社会保険労務士として活躍。各種講演会の講師および各種WEB記事執筆。日本経済新聞、女性セブン等に取材記事掲載。2020年12月21日、2021年3月10日にあさイチ(NHK)にも出演。
詳しいプロフィールはこちら
