2015年8月12日
中小規模事業者のためのマイナンバー対策➆~安全管理措置(1)~
こんにちは。明日から、お盆休みですね。昨晩、他県に住む友人が帰省しているという連絡を受けて、今日、急遽私と友人2人でランチへ。
帰省した友人は幼稚園からの、もう一人のご近所さんの友人は小学校からの、付き合いです。みんな、8月生まれ。車だし昼間だし、その後仕事もあるしで、お酒は飲めませんで
したが、ジンジャーエールで乾杯!小・中学校の頃の思い出話に花が咲き・・誰それはどうしてるなど、他の同級生たちの近況も併せておしゃべり。2時間でしたが、楽しく、濃い時間を過ごせました。
地元にいて、戻ってくる友人を待つの初めての経験。いいものです。
さて、本日はマイナンバーの7回目。いよいよ安全管理措置に入ります。
最初にもお話ししましたように、マイナンバー制度の導入で事業者が求められるのは、
(1)法律で定められた書類にマイナンバーを記入すること
(2)マイナンバーが漏えい・不正使用をされないよう管理すること
この2つです。
まず、マイナンバー法では第12条と第33条において、マイナンバーとマイナンバーを含む個人情報の漏洩・滅失・毀損について安全管理のための適切な措置を講じなければならないと定めています。
そしてさらに、ガイドラインの別添「特定個人情報に関する安全管理措置(事業者編)」において、どのような安全管理をしなければならないかを示しています。
特に注意すべきは、ガイドラインの「第一 はじめに」に、
「本ガイドラインの中で、『しなければならない』及び『してはならない』と記述している事項については、これらに従わなかった場合、法令違反と判断される可能性がある。一方「望ましい」と記述している事項については、これに従わなかったことをもって直ちに法令違反と判断されることはないが、番号法の趣旨も踏まえ、事業者の特性や希望に応じ可能な限り対応することが望まれるものである。」
と記載があることです。
不正使用や、漏洩が生じた際に、『しなければならない』とされていた措置をとっていない、『してはならない』ことをしていたとあれば、当然、企業としての責任を厳しく問われることになります。
但し、ガイドライン中には、しなければならない「枠」の説明と手法の例示はありますが、具体的にどこまですればよいのかはその記載に基づき、企業側が考えなければなりません。また、従業員の数が100人以下の事業者である中小規模事業者には安全管理措置の一部に対応の軽減が認められていますが、
例えば、取扱規定の策定についての記載では、中小規模事業者の対応として、
「事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する」
とあり、「確実な引継ぎ」ということができる手法、責任ある立場の者が「確認した」ということができる手法の検討は、やはり、企業側がしなければなりません。
従いまして、マイナンバーの管理のために費やすことのできる予算と、時間と、人員を考えますと、「どこまでするのか」を考える中小規模事業者の方が対応が難しいのかもしれません。
明日以降は、
1)基本方針の策定、取扱規定等の策定
2)組織的安全管理措置
3)人的安全管理措置
4)物理的安全管理措置
5)技術的安全管理措置
についてお話ししたいと思います。