ブログ

2015年9月1日

  • マイナンバーのこと

中小規模事業者のためのマイナンバー対策➈~安全管理措置(3)~

こんばんは。ようやく、子供の夏休みが終わり、中学校が始まりました~。ながかった・・。

特に、最後まで残してしまった理科研究は・・・なぜか私も気が重かったです。

結局下の写真のように、包むものによる氷の解け方の違いについて研究することにして、実験していましたが。10分おきにタイマーがなるので、その日は集中して仕事ができず(^^;)しかも、包みを開ける時間を一定にしなければいけないからと、写真撮影を手伝わされて。

もっと早く片づけるようにいっておけばよかったと。後悔。まあ、全部の宿題をどうにか終えて、今日は元気よく中学校にでかけていきましたのでよしとしましょう。

IMG_1232

さて、マイナンバーの9回目。今日は、安全管理措置についてお話しします。事業者には、マイナンバーとマイナンバーを含む個人情報(特定個人情報)、特定個人情報ファイルについて、

⓵ 組織的安全管理措置
➁ 人的安全管理措置
➂ 物理的安全管理措置
➃ 技術的安全管理措置

が求められています。

【組織的安全管理措置】(中小規模事業者の特例あり)

1)責任者と事務取扱担当者を区別すること
⇒ 事務取扱担当者については、具体的な人を指定するかたちでもよいのですが、マイナンバーを取り扱う事務ごとに、「●●部△係り」が行うなどという形で特定する方法もあります。

2)取扱規定やマニュアルに基づいて運用しているかどうかを確認すること。
⇒ 特定個人情報等の利用、出力状況、持出、廃棄、ログイン、アクセスした記録を業務日誌に記入して保存する。

3)取扱状況を確認すること
⇒ 特定個人情報のファイルの種類、名称、責任者、取扱い部署、利用目的、アクセス権を有する者、削除、廃棄の履歴を記載したものを作成。

4)情報漏えい等万が一の時に、従業員から責任ある立場の者に報告連絡する体制づくり

5)責任者が、取り扱い状況を定期的に点検を行うこと
⇒ チェックリストを作成し、保存する。

【人的安全管理措置 】(中小規模事業者の特例はない)

特定個人情報等の適正な取り扱いのために、

1)事務取扱担当者の監督

2)事務取扱担当者の教育

が要求されています。具体的には、取扱いに関する留意事項等について従業員に定期的な研修を行ったり、特定個人情報等の秘密保持に関する事項を就業規則等に盛り込むなどです。

【物理的安全管理措置】(中小規模事業者の特例あり)
1)取扱区域の管理
1.特定個人情報ファイルを取り扱う情報システムを管理する区域と、特定個人情報等を取り扱う事務を実施する区域を明確にすることです。
⇒システムで管理をするのであれば、サーバなどが置かれている区域と、実際に入力する区域を明確にして管理をするということですし、システムで取り扱わないのであれ
ば、ファイルを保管する金庫や書庫と、事務を取り扱う場所を明確にしておくということです。
2・サーバなどが置かれている区域又はファイルが置かれている部屋への入退室管理や管理区域への持ち込み機器の制限
3・データを入力する取扱い区域では、事務取扱担当者以外の往来が少ない場所へ座席を配置したり、パーテーションを利用するなどして覗き込みによる情報漏えいを防ぐこと

2)機器及び電子媒体等の盗難等の防止
⇒特定個人情報当を取り扱うパソコンやサーバなどは、簡単に持ち出されないように、セキュリティワイヤー等により、固定したり、それらの情報の入ったCDーR、U
SB、書類等は、留守にする際にはかならず鍵付きの引き出しや金庫等にいれて、盗み出されないように保管すること。

3)電子媒体等を持ち出す場合の漏洩等の防止
⇒データの暗号化や、パスワードによる保護、鍵付きのケースを使用して持ち出すなどの措置が必要です。また、持出は、管理区域・取扱い区域の外へ移動させることをい
いますので、事業所内の移動でも注意が必要だということになります。

4)マイナンバーの削除、機器及び電子媒体等の廃棄
⇒容易に復元できない手段、若しくは復元不可能な手段で削除・廃棄し、削除・廃棄した記録を保存します。中小規模事業者の対応としては、責任ある立場の者が削除・廃
棄したことを確認するとあり、記録の保存までは要求されていませんが、何かあった時の責任の観点からは、何かしらの記録を残すことがリスクを減らすことにつながる
と思います。業者に溶解してもらったりなど廃棄を任せる場合には、、廃棄証明書を取得する必要があります。

【技術的管理措置】(中小規模事業者の特例あり)
1)アクセス制御
2)アクセス者の識別と認証
⇒特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する
機器に標準装備されているユーザー制御機能(ユーザアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定する。
3)外部からの不正アクセス等の防止
⇒・社内システムと外部ネットワークの接続箇所にファイアウォール等を設置
・情報システム機器にウィルス対策ソフトを導入し、入出力データにおける不正ソフトの有無を確認する。
・ログ等の分析を定期的に行い、不正アクセス等を検知する。
4)情報漏えい等の防止

以上になります。安全管理措置と中小規模事業者の対応については、特例の有無を表にまとめていますので、下の表をご覧いただければと思います。
図2

中小規模事業者の要件に、「個人情報取扱事業者でないこと」という要件があります。今国会で個人情報保護法の改正案が成立することになりましたが、これによって、これまで個人情報取扱事業者として個人情報保護法の適用を受けなかった中小規模の事業者も、個人情報取扱事業者となります。改正法は、公布後2年以内に施行される予定です。

従いまして、特定個人情報等の安全管理措置につき、中小規模事業者向けに軽減された対応で、今後も十分なのかどうかは、改正法が施行されるまでに検討が必要になるところだといえます。

  • このエントリーをはてなブックマークに追加

page top