マイナンバー安全管理措置の内容(4)

【安全管理措置の具体的内容】
マイナンバー制度では、特定個人情報等の保護のために必要な安全管理措置についての具体的な手法の例示や、中小規模事業者における対応方法がガイドラインで示されています。
それによると、安全管理措置の内容には、主に次の4つがあります。

(1) 組織的安全管理措置
事務取扱責任者および事務取扱担当者を設置して、その役割や責任を明確化するとともに、情報漏えい事案の発生やその兆候を把握した場合の報告連絡方法等の組織体制を整備したうえで、取扱規程等に基づく運用状況等を確認、把握します。
取扱規程等の策定義務がない中小規模事業者においては、①特定個人情報の取扱状況の分かる記録を保存する、②情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡方法等をあらかじめ確認しておく、③責任ある立場の者が、特定個人情報の取扱状況について定期的に点検を行う、などの対応が重要だとしています。

(2) 人的安全管理措置
特定個人情報が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して周知徹底するとともに、適切な監督および教育を行います。
具体的には、定期的な研修を行うことや、秘密保持に関する事項を就業規則に盛り込むことが挙げられています。

(3) 物理的安全管理措置
特定個人情報の漏えいを防止するために、特定個人情報ファイルを管理する区域(管理区域)および取扱事務を実施する区域(取扱区域)を明確にします。
その手法には、会社の規模や業種によって幅があると考えられますが、管理区域については、ICカード、ナンバーキー等による入退室管理システムの設置や、管理区域へ持ち込む機器の制限等が考えられ、取扱区域については、壁や間仕切りの設置、座席配置の工夫等が示されています。
また、特定個人情報を取扱う機器や電子媒体、書類等の盗難や紛失を防止するため、それらを施錠できるキャビネットや書庫に保管するなど、安全な対策を講ずる必要があります。

(4) 技術的安全管理措置
情報システムを使用して事務を行う場合、事務取扱担当者や特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行います。その手法として、ユーザーIDおよびパスワード、磁気やICカードに付与されたアクセス権により、情報システムを使用できる者を事務取扱者に限定するとしています。
また、外部からの不正アクセス防止のため、外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断するとともに、情報システムおよび機器に、常に最新状態となるウイルス対策ソフトウエアを導入しておくことが重要です。

前記4つの安全管理措置のように、マイナンバーを含めた情報の漏えい、滅失等の防止のための措置を実施することが全ての事業者に求められています。