マイナンバー法では、事業者は、取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています。
マイナンバー情報の安全管理措置は「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つのカテゴリーで対策を考える必要があります。
実際に「安全管理のために必要かつ適切な措置」を決めることは大変難しいと思います。
そこで具体例として当事務所での取り組みを紹介いたします。
組織的安全管理措置
担当者を明確にし、定期的に組織体制を見直しするための監査体制の構築と取扱規程に基づく運用の実施と見直しを行う体制づくりが必要です。
当事務所の具体例
当事務所では、特定個人情報の適正な取扱いに関する基本方針を策定し、ホームページ等での公開をすすめています。また、別途『特定個人情報取扱規程』及び実務上の運用マニュアルを作成しました。今後も常に最新の情報を入手し、運用の見直しを進めてまいります。
人的安全管理措置
事務取扱担当者の監督や教育を行い、内部からの漏えいを防止するための体制づくりが必要です。
当事務所の具体例
当事務所では、職員全員で外部研修の受講を始め、社内研修を重ね、職員一丸となって高い意識をもって取り組んでまいりました。
今後、制度の開始に伴い、実際の運用状況を検証し、見直し及び改善を図ってまいります。
なお、職員全員に特定個人情報の取扱いに関する誓約書の提出を義務づけており、改めて、情報漏えいに対する責任を認識した上で、業務に取り組んでおります。
物理的安全管理措置
特定個人情報等の取り扱い区域を明確化し、電子媒体等の持ち出し、個人番号の削除や電子媒体等の廃棄などをルール化し、情報の漏えい、盗難を防止するための体制づくりが必要です。
当事務所の具体例
当事務所のテナントは外部のセキュリティ会社により、業務中はテナント内の警備員による警備が行われ、業務外についても、警備システムが導入されており、24時間体制でセキュリティ管理を行っています。
また、特定個人情報等を取り扱う区域をパーティションで間仕切りするとともに、監視カメラを常時作動させ、室内への職員以外の入退室や職員の業務状況を記録しています。
書類の管理は、鍵付の書庫を使用し、書面で特定個人情報等の重要書類をお預かりする場合に備え、耐火金庫で保管いたします。
技術的安全管理措置
担当者を限定するためのアクセス制御やウィルス対策ソフトの導入、外部からの不正アクセスの防止などのシステム的な組織体制づくりが必要です。
当事務所の具体例
当事務所でも技術的安全管理措置については、システム支援を行う企業と重点的に取り組んでまいりました。
外部からの不正アクセス、アンチウィルス等の不正侵入を常時監視するシステムを導入するとともに、各職員が行った操作ログの記録やデバイス制御によるUSBの使用制限、内部システムの監視を常時行うことによる内部からの情報漏えいをチェックするためのシステムを導入しました。
また、個人番号へのアクセス制限や利用履歴などのログ管理を行っており、目的外利用を防止し、内部からの情報漏えいに対しても安心してご依頼頂ける様な体制づくりをすすめてまいりました。
より詳細なマイナンバー情報の安全管理措置への当事務所の取り組みは、以下のページに記載しています。
ぜひご参照いただければと思います。
