マイナンバー制度導入にともない、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が発行されています。その中には会社がしなければならないことが多く書かれているのですが、ここでは個人番号及び特定個人情報(個人番号を含んだ個人情報のことをいいます。)の漏えい、滅失又は毀損を防止したり、その他の適切な管理のために会社が取り組まなければならない4つの「安全管理措置」についてご説明します。
組織的安全管理措置
●組織体制の整備
まずは組織体制の整備です。マイナンバー法は個人情報法保護法よりも罰則の種類が多く、法定刑も重くなっています(最高3年以下の懲役、又は150万円以下の罰金)。また、情報漏えいした場合などには、これに加えて社会的制裁も課せられます。中小企業では義務付けはされていませんが、特定個人情報等の適正な取扱いの確保について組織として取り組むた めにも、トップメッセージとして基本方針を策定することが重要となります。
その上で、特定個人情報を取扱うのはどの部署なのか?複数いる場合は誰なのか?(「事務取扱担当者」といいます。)、部門や担当の責任者は誰なのか?(「事務取扱責任者)といいます。)、それらを組織として明確化にすることが必要です。
●取扱規程等に基づく運用
特定個人情報等の取扱いを明確化することが必要です。インターネット等で特定個人情報保護規程のモデルが公表されていますが、会社によって規模も違えば取扱い方も異なります。自社に合った形でアレンジしたり、それが難しければ専門家に依頼すべきでしょう。 こちらも中小企業には義務付けられていませんが、事務取扱担当者が退職した場合などに備えて、取扱規程やマニュアルを作成しておくことをお勧めします。比較的容易に、確実な引継ぎを行えることでしょう。
●取扱状況を確認する手段の整備
せっかく取扱規程やマニュアルを作っても適切に運用されていなければ意味がありません。特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日や税務署への提出日等、特定個人情報等の取扱い状況を記録する方法や手段が、取扱規程やマニュアルどおりに運用されているかを、定期的にチェックすることが必要です。
●情報漏洩事案に対応する体制の整備
万が一に備えての体制づくりも必要です。情報漏えい等の事案の発生に備えて、従業者から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておきましょう。
●取扱状況把握及び安全管理措置の見直し
取扱状況を定期的に確認することで、早期の問題発見につながります。運用していく中で、より安全で確実な管理体制を構築していくことも重要です。定期的な見直しで、会社のリスク削減につなげましょう。
組織体制を整え、責任、役割を明確にしましょう。
人的安全管理措置
●事務取扱担当者の監督
個人番号を取扱う担当者のことをガイドラインでは「事務取扱担当者」と言います。会社は、特定個人情報等が取扱規程等に基づき適正に取り扱われ るよう、事務取扱担当者に対して必要かつ適切な監督を行わなければなりません。
●事務取扱担当者の教育
会社は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行わなければなりません。
事務取扱担当者に限ったことではありませんが、従業員に対する教育や監督は、会社の基本といえるでしょう。従業員に、マイナンバー制度導入に伴う説明会などを実施し、マイナンバー4箇条など制度に対する理解を広く周知させることでリスクを削減することができます。
マイナンバー4箇条の内容
物理的安全管理措置
●特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(これを「管理区域」といいいます。)及び特定個人情報等を取り扱う事務を実施する区域(これを「取扱区域」といいます。)を明確にし、物理的な安全管理措置を講ずる必要があります。事業者の規模及び特定個人情報等を取り扱う事務の特性等によりますが、例えば、管理区域に関しては、特定個人情報を保管する書庫を鍵付きの別室にしたり、鍵付きのキャビネットで保管する等、取扱区域に関しては事務取扱部門を別室にしたり、パーテションを設置する、個人番号が覗き見されない場所にするなどのレイアウトの工夫が考えられます。その他、入退館(室)管理の実施なども効果的でしょう。
●機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる必要があります。こちらも会社の規模や特性によって対処方法が異なりますが、上記の特定個人情報等を取り扱う区域の管理と一緒に考えると、解決の糸口が見つけやすいと思います。
●電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、紛失・盗難等を防ぐための安全な方策を講ずることとされています。例えば、USBメモリーやノートパソコン等電子機器や電子媒体で特定個人情報を持ち出す際にはパスワードロックを掛けるなど、書類で持ち出す際には封筒に入れたり、目隠しシール等を張り、容易に個人情報が判明しないよう措置を施す必要があります。
●個人番号の削除、機器及び電子媒体等の廃棄
各種帳簿は法律によって保存期間が決まっていますが、これを超えて保管する場合、個人番号については削除・廃棄しなければなりません。書類であればシュレッダーなどで裁断したり、焼却処分することで復元不可能な状態にする必要があります。また、電子媒体で保管していた場合には、専用の消去ソフトを用いて消去したり、HDDやパソコンを物理的に破壊して復元不可能な状態にします。また事務取扱責任者等責任ある立場の者が確実に削除・廃棄されたかどうか、確認をするとともに、その記録を残しておきましょう。
技術的安全管理措置
●アクセス制御
●アクセス者の識別と認証
特定個人情報等を取り扱うパソコン等を特定したうえで、ユーザーアカウント制御(ユーザーアカウントとパスワードの設定)の機能を活用し、その機器を取り扱う事務取扱担当者を限定しましょう。 こうすることで事務取扱担当者以外の者が勝手に特定個人情報が保存されたパソコンなどを利用できなくなります。
●外部からの不正アクセス等の防止
今やインターネットは取引の決済や情報の収集に欠かせないものになっています。会社においてもパソコンを利用していない企業は数少なくなっているのではないでしょうか?しかしながら、外部のネットワークにつながれたシステムは常に不正アクセスやウィルス・マルウェアなど、会社内の情報が外部に流れ出す危険に晒されています。ファイヤーウォールやDMZの設置など、外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。インターネットにつながっているパソコンで作業を行う場 合の対策です。その他個々のパソコンについてもウイルス対策ソフトウェア等を導入する。 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態にする、サポートの終了したソフトウェアを使用しない(WindowsXPやOffice2003など)、などの措置が必要です。
●情報漏えい等の防止
電子メールなどで特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏 えい等を防止するためにデータの暗号化やパスワードの保護によるの措置を講ずる必要があります。
