特定個人情報等の安全管理措置と、中小規模事業者に認められる特例的対応

このエントリーをはてなブックマークに追加

 物理的安全管理措置とは

特定個人情報等の保護のため、事業者に求められる「安全管理措置」。この安全管理措置の内、基本方針の策定取扱規定等の策定組織的安全管理措置人的安全管理措置については、前回のエントリーで既にご紹介しました。

今回は、残る物理的安全管理措置技術的安全管理措置について取り上げるとともに、中小規模事業者における特例的対応についてもご紹介したいと思います。

・物理的安全管理措置

事業者は、特定個人情報等の情報漏えい等を防止するため、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」)を明確にし、物理的な安全管理措置を講じなければなりません。

具体的な手法として例示されているのは、以下の通りです。

  • 入退室管理及び機器等の持ち込み制限(管理区域)
  • ICカード、ナンバーキー等による入退室管理システムの設置
  • 壁又は間仕切り等の設置及び座席配置の工夫(取扱区域)

また、特定個人情報等を取り扱う機器や電子媒体、書類等について、盗難又は紛失等を防止するための措置を講ずる必要も有ります。そのための手法は…

  • 特定個人情報等を取り扱う機器等を、施錠できるキャビネットや書庫等に保管する
  • 情報システムを機器のみで運用する場合は、セキュリティワイヤーなどでそれを固定する

厳重な管理が必要とされる特定個人情報等ですが、業務の都合上、管理区域や取扱区域の外へ持ち出す場合も考えられます。当然、そのような場合においても紛失や盗難等の事態が起きないように対策をとらなければなりません

持ち出しの対象が電子媒体か書類かによって、それぞれ以下のような対処法が考えられます。なお、ここで言う「持ち出し」とは管理区域または取扱区域の外へ移動させることを指しますので、事業所内部での移動であっても同様の対処が求められると考えられます。

  • データの暗号化
  • パスワードによる保護
  • 施錠できる搬送容器の使用 など(以上、電子媒体のケース)
  • 封緘
  • 目隠しシールの貼付 など(以上、書類のケース)

個人番号や特定個人情報には、所管法令において保存期間が定められています。そしてその保存期間が経過した場合、できるだけ速やかに復元できない手段で削除または廃棄しなくてはなりません。削除または廃棄した場合は、その事を記録に残します。これらの手法としては、以下のような事例が示されています。

  • 焼却または溶解(復元不可能な廃棄手段)
  • 専用のデータ削除ソフトウェアの利用または物理的な破壊(機器又は電子媒体の廃棄)
  • 保存期間経過後における廃棄を前提にした情報システムや書類取扱手続の構築

技術的安全管理措置として求められる対応

・技術的安全管理措置

個人番号関係事務又は個人番号利用事務を行うにあたり、情報システムを使用するケースが考えられます。その際、事務取扱担当者及び取り扱い特定個人情報ファイルの範囲を限定するために、適切なアクセス制御をおこなわなければなりません

アクセス制御により、以下について限定する事が考えられます。

  • 個人番号と紐付けてアクセスできる情報の範囲
  • 特定個人情報ファイルを取り扱う情報システム
  • 情報システムを使用できる者(例えば事務取扱担当者)

情報システムにアクセスした者に対しては、その者が正当なアクセス権を有するか否かを識別した結果に基づいて認証する必要が有ります。その識別方法として考えられるのは、ユーザーIDやパスワード、ICカードの利用等です。

また、情報システムへの不正アクセス又は不正ソフトウェアから保護する仕組みの導入も必要です。具体的には、ファイアウォールの設置ウイルス対策ソフトウェアの導入ログの定期的な解析などが挙げられます。

雇用保険や社会保険等の手続きに電子申請を用いているような場合、特定個人情報等をインターネット等によって外部に送信する状況が有り得ます。その通信経路においても、情報漏えい等を防ぐための措置が求められます。

具体的には、通信経路の暗号化や保存されている特定個人情報データの暗号化パスワードによる保護等が考えられます。

中小規模事業者に認められる特例的対応

以上、ガイドラインに提示されている安全管理措置の内容をご紹介してきました。一口に安全管理措置と言っても、これら全てを実行するとなるとかなりの労力や時間を要することになるのは間違いありません。そこでガイドラインでは、中小規模事業者従業員数100人以下の事業者。一部例外を除く)に対し、特例的な対応方法を併せて例示しています。

その内容は、例えば以下のようになっています。

  • 取扱等の明確化確実な引継ぎ責任者による確認(取扱規定の策定)
  • 責任者と事務取扱担当者との区分(組織体制の整備)
  • 取扱状況の分かる記録の保存(取扱規定等に基づく運用)
  • 責任者への報告連絡体制等の確認(情報漏えい等への対応)
  • 責任者による定期的な点検(取扱状況の把握及び安全管理措置の見直し)
  • 責任者による確認(特定個人情報等の削除または廃棄)

ご覧頂いてお分かりのように、中小規模事業者に対しては、より簡略化された安全管理措置をとることが認められています。しかし、例えそのような特例が認められていようと、特定個人情報等の漏えいや紛失などの事案が発生した暁には、事業者が重い責任を問われることに変わりありません。

中小規模事業者であっても、可能な限り組織体制の整備や取扱規定の策定といった措置を取ることが望ましいと言えるでしょう。

以上、前回と今回の2回に渡って安全管理措置を取り上げました。各個人にマイナンバーが通知されるのは今年10月以降雇用保険関連書類にマイナンバーの記載が必要になるのが来年1月以降ということで、まだまだ時間的に余裕が有るとお考えの事業主様も多いかもしれません。

しかし、事業主様に求められる安全管理措置の内容は、決して簡単なものばかりではないのです。その事は、これまでご覧頂いてお分かりいただけたかと存じます。当ブログでは、引き続きマイナンバー制度の動向を注視し、可能な限り迅速に皆様へ情報を提供させていただきたいと考えております。