ガイドラインに定める安全管理措置とは
当ブログでは、これまで二度に渡り、いわゆるマイナンバー制度について取り上げてきました。マインナンバーは極めてセンシティブな情報であり、そのために法律において各種の保護措置が取られている事は、前回のエントリーでご説明した通りです。
それらの保護措置の中で、今回は、事業者が講ずべき安全管理措置について取り上げたいと思います。前回に引き続き、「特定個人情報の適正な取り扱いに関するガイドライン(事業者編)」(以下「ガイドライン」、全文はこちら)の内容に基づいてご紹介していきます。
安全管理措置の検討手順
ガイドラインでは、事業者について、特定個人情報(マイナンバーをその内容に含む個人情報)等の適正な取り扱いに関する安全管理措置の検討を行わなければならないとしています。その手順は以下の通りです。
- マイナンバーを取り扱う事務の範囲の明確化
- 特定個人情報等の範囲の明確化
- 事務取扱担当者の明確化
- 特定個人情報等の安全管理措置に関する基本方針(以下「基本方針」)の策定
- 取扱規定等の策定
上記の手順の内、2.の「特定個人情報等の範囲の明確化」とは事務において使用されるマイナンバー及びマイナンバーと関連付けられて管理される個人情報(氏名、生年月日等)の範囲を明確にすることをいいます。
これらの安全管理措置の検討に当たっては、関係法令やガイドライン等を遵守しなければなりません。ガイドラインでは、基本方針や取扱規定の内容等について、より具体的な手法を例示しています。もっともこの例示には必ずしも事業者が縛られる必要は無く、経営規模や取り扱い事務の特性等によって適切な対応を採用することが重要である、とされています。
ガイドラインが例示した具体的な手法
ガイドラインが例示した具体的な手法は、項目別に以下の通りになっています。
・基本方針の策定
基本方針に定める項目として、「事業者の名称」「関係法令・ガイドライン等の遵守」「安全管理措置に関する事項」「質問及び苦情処理の窓口」が挙げられています。
・取り扱い規定等の策定
マイナンバー等の取得・利用・保存等といった各段階において、取扱方法、責任者・事務取扱担当者及びその任務等について定める事が例示されています。またこれらの内容を具体的に定める事項については、組織的安全管理措置や物理的安全管理措置等(これらの内容は以下に記述)を織り込む事が重要である、としています。
・組織的安全管理措置
事業者は、安全管理措置を講ずるための組織体制を整備しなければなりません。整備項目として、以下の内容が例示されています。
- 事務における責任者の設置及び責任の明確化
- 事務取扱担当者の明確化及びその役割の明確化
- 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
- 事務取扱担当者が取扱規定等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制 など
また、実際の運用が取扱規定等に基づく適切なものであるか確認するため、システムログや利用実績を記録しなければなりません。記録する項目として例示されているのは、以下の通りです。
- 特定個人情報ファイルの利用や出力状況の記録
- 書類や媒体等の持ち出しの記録
- 特定個人情報ファイルの削除や廃棄の記録
- 削除や廃棄を外部委託した場合、これを証明する記録等
- 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
特定個人情報ファイル(マイナンバーをその内容に含む、個人情報ファイルのことを指します)についても、その取り扱い状況を確認するための手段を整備する必要が有ります。記録内容として例示されているのは、以下の項目です。
- 特定個人情報ファイルの種類、名称
- 責任者、取扱部署
- 利用目的
- 削除や廃棄の状況
- アクセス権を有する者
マイナンバーや特定個人情報が漏えいする事態は、本来あってはならないことです。しかし実際にそのような事案が生じたり、あるいは発生する兆しを把握した場合に、適切かつ迅速に対応するための体制を整備しておく必要が有ります。 情報漏えいへの対応として例示されているのは、以下の内容です。
- 事実関係の調査及び原因の究明
- 影響を受ける可能性の有る本人への連絡
- 委員会及び主務大臣等への報告
- 再発防止策の検討及び決定
- 事実関係及び再発防止策等の公表
安全管理措置は、一度定めてしまえばそれっきり、というものではありません。特定個人情報等の取り扱い状況を把握し、安全管理措置の評価や見直し、改善に取り組む事が事業主に求められています。以下のような手法が例示されています。
- 責任者自らが行う定期点検又は他部署による監査
- 外部の主体による監査活動と合わせた監査の実施
・人的安全管理措置
事業者は、特定個人情報等が取扱規定に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行わなければなりません。また、適正な取り扱いの周知徹底や適切な教育を行う事も必要です。
具体的な手法としては、従業者への定期的な研修の実施や秘密保持に関する事項を就業規則に定めることが例示されています。
分量がかなり大きくなってしまったので、今回のエントリーはここまでとさせていただきます。物理的安全管理措置、技術的安全管理措置、中小規模事業者における対応方法については次回以降のエントリーで取り上げます。