神戸でマイナンバー対策の相談をしたいのなら、行政書士やまのそうま法務事務所へご相談ください

使える安全管理措置を構築するために

前ページまでで、マイナンバーの漏えいを防止するための安全管理措置を構築するための下準備を説明してきました。
未読の方は「実際に安全管理措置を策定するためには」をご参照ください。
そこで、本ページからマイナンバーの安全管理措置の構築について、説明していきたいと思います。

マイナンバーの安全管理措置体制の仕組み

番号法及びガイドライン等が、事業者・団体に要求している安全管理措置とは、重要な情報であるマイナンバー及び特定個人情報の不正利用、漏えい、毀損などの事態が生じないようにするためのものです。
また、万が一そうした事態が生じてしまっても、状況把握と対策を早急に行い、被害の拡大を防止するためでもあります。
そうした、目的を達成するために、マイナンバーの安全管理措置は、以下のような構成となっています。

基本方針

安全管理体制の基本となるものです
内外に対してどのような姿勢で情報を管理していくのかを表明するものとなります

取扱規程

基本方針を総論とするならば、取扱規程は各論にあたるものです
マイナンバーの取扱いについて具体的な対処を文面化したものであり、実際の体制運営の基盤となります
以下に列挙した、各分野での安全管理措置の制度設計図ともなります

組織的安全管理措置

事業者・団体の内部で、組織としてのマイナンバー取扱いへの対策のことです

人的安全管理措置

マイナンバーの取扱担当者やその監督についての対策のことです
また、従業者への教育・研修の実施も内容として含まれています

物理的安全管理措置

マイナンバーの管理について、専用の取扱区画を設けるなど、物理的な対策を行うものです
近年の情報漏えいは、情報へのアクセス権を有する従業者による、不正なアクセスが原因となって生じています
そのため、必要な時以外は物理的に取扱いが不可能な状況にしておくなどの対策が求められているのです
また、PC・USBフラッシュメモリー等の盗難防止策についても実施しなければなりません

技術的安全管理措置

主としてアクセス権の制御や外部からの不正アクセス防止など、PC上での技術的な対策をいいます
高度に情報化が進んだ現在では、技術的安全対策措置は必須であると言えます
マイナンバーについては、たとえ全システムの管理者であっても取扱担当者でないのであれば、特定個人情報ファイル等にはアクセスが不可能な状態におかなければなりませんので、要注意です

上記のような体制を構築して、従業員やその家族、取引先や株主への信頼を盤石なものと出来るようにしましょう。

中小規模企業における、マイナンバー安全管理措置の特例対応

従業員が１００人以下の中小規模事業者に対しては、上記の全管理体制のうち、一定のものについては軽減しても良いことが、公表されています。
これは、当該事業者の事務で取り扱われるマイナンバーの数量が、比較的少なく、取扱う従業者が限定的であることを理由としています。
もちろん、中小規模事業者であっても、正規の管理措置を行うことは「より望ましい」とされています。
しかし、何より大事なことは、日常業務に負担がかからないようにすることです。
そのため中小規模の事業者においては、安全管理措置の要点をきちんと押さえて、自身に必要十分な体制を整えることを優先すべきと考えます。
なお、従業員が１００人以下であっても、以下の事業者は通常通りの安全管理措置を行わければなりません。

• 個人番号利用事務実施者
• 委託に基づいて、個人番号利用事務もしくは個人番号関連事務を業務として行う事業者
• 金融分野（金融庁ガイドライン１条１項に規程される金融分野）の事業者
• 個人情報取扱事業者（２０１７年５月３０日以降）その事業に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の情報の数の合計が過去６ヶ月間以内のいずれかの日において５０００を超える事業者

註
改正個人情報保護法の施行により、その施行日である２０１７年５月３０日以降は、４つ目の要件が以上のように変化します。
表現は変化しましたが、従来までの個人情報保護法にいう「個人情報取扱事業者」に該当して、マイナンバー管理の特例対応を行なっていた事業者については、これまで通りの管理で問題はありません。
判断日より遡って６ヶ月以内に５０００件を超える個人情報の取り扱いがない場合は、これまで通りの安全管理措置を継続して、問題はありません。

中小規模事業者であるかどうかの判断について

従業員の数は、直近の事業年度末（事業年度がない場合は年末）において判定されます。
そのため、毎年の見直しが要求されています。

また、ここでいう「従業員」とは、労働基準法２０条の規程に基づき、解雇の際に解雇予告が必要な労働者のことです。
「解雇予告が必要な従業員」とは、労働基準法２１条各号で定められた労働者以外の者ですから、日雇い労働者などではない限りは、原則としてここでいう「従業員」としてカウントすることになるでしょう。
詳しくは専門家にご相談ください。

本ページのまとめ

• 安全管理措置は２つの文書群と４つの分野で構成される
• 一部の安全管理措置には、事業規模によって軽減特例がある
• 軽減特例が認められる基準は「従業員が１００名以下」
• 規模が小さくても、マイナンバーを大量に扱うことが見込まれる事業者は、特例なし
• 事業者の規模と実態にあった、適切かつ必要な安全管理体制を整えましょう
• 中小規模事業者であっても、正規の安全管理措置採用は、より望ましいとされています