「安全管理措置導入の準備」で明確にした事務でマイナンバーを取扱う際に、組織的な取組みで安全な管理を行わなければなりません。
そのための組織再編が、組織的安全管理措置であると言えます。
番号法のガイドラインでは、組織的安全管理措置を実施するために、以下の措置を事業者・団体に義務付けています。
| 項目 | 内容 |
|---|---|
| 取扱体制の整備 | 安全管理措置を講ずるための組織体制を整備する |
| 取扱規程等に基づく運用 |
取扱規程等に基づく運用状況を確認するため、 システムログ又は利用実績を記録する |
| 取扱状況を確認するための手段の整備 |
特定個人情報ファイルの取扱状況を確認するための 手段を整備する |
| 情報漏えい等事案に対応する体制の整備 |
情報漏えい等の事案の発生又は兆候を把握した場合に、 適切かつ迅速に対応するための体制を整備する |
| 取扱状況の把握及び安全管理措置の見直し |
特定個人情報等の取扱状況を把握し、 安全管理措置の評価、見直し及び改善に取り組む |
これらの具体的な構築の仕方について、ガイドラインに沿って解説していきます。
なお、中小規模事業者については、特例として軽減された安全管理措置の導入が認められています。
それらについては、ページ下段の「中小規模事業者における特例」でまとめて説明します。
なお、中小規模事業者の概要については「中小規模企業における、マイナンバー安全管理措置の特例対応」をご参照ください。
組織体制の整備
まず、事業者・団体は個人番号関連事務実施者、つまりマイナンバー取扱事務を行う主体として、組織的な安全管理措置を講じる体制を整備していく必要があります。
番号法ガイドラインでは、そうした組織整備について、以下の項目を例示しています。
上記の項目は、マイナンバー導入の準備の手順で明確にした事項がほとんどです。
そのため、しっかりと検討してさえいるならば、この組織体制の整備はさほど困難ではないでしょう。
「事務における責任者」について
番号法上のガイドラインでは、この責任者について、特に役職の指定などはありません。
しかし、昨今の重大な情報漏えい事件の発生等から、個人情報保護法上での「責任者」は、原則として役員や株式会社であれば取締役又は執行役が任命されるようにガイドラインが改正されています。
そうした関連法での対応との比較や、マイナンバーや特定個人情報の重大性を鑑みると、この「責任者」については、相応の立場の者をつける必要があると考えられます。
具体的には役員や事業主が責任者として対応すべきでしょう。
取扱規程等に基づく運用
マイナンバーや特定個人情報が、取扱規程に基づいた運用がされていることを確認するために、運用記録を保存する体制を整えなければなりません。
番号法ガイドラインでは記録すべきものとして、以下の項目が列挙されています。
これらの項目についての記録形態は、特定個人情報を紙媒体で取扱うか、それとも電子データ上で扱うかによって、かなり運用方法が異なってきます。
また、特定個人情報ファイルの削除・廃棄については番号法上の要請であるので、その措置が確実に行われた記録を残す必要性があります。
これら記録の保存期間について
なお、これらの情報の保管期間について、法やガイドラインに規定はありません。
しかし、記録の目的が運用実態の把握にあること、運用記録が存在していることそのものが、情報漏えい等への対処として非常に有効であることを鑑みると、できる限り長期の保存が望ましいと言えるでしょう。
弊所の見解ですが、少なくとも、情報漏えいや適正運用に関する定期点検などが終了するまでは、保存すべきであると思われます。
取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備する必要があります。
番号法ガイドラインには、以下の項目が例示されています。
注意が必要なのは、この記録等には特定個人情報等は記載しないことです。
(記載してしまうと、それ自体が特定個人情報ファイルとなってしまい、目的外利用となってしまいます)
情報漏えい等事案に対応する体制の整備
情報漏えいが生じるリスクは、低減させることができても0にすることは現実的ではありません。
そこで「万全を期しても情報漏えい等は生じるものである」という認識のもとに、事態が生じた際には迅速・適切に対応する体制の確保が求められます。
番号法ガイドラインでは、以下のような体制項目が例示されています。
番号法では、情報漏えい等の自体が生じた場合、特定個人情報保護委員会による立入検査が可能とされています。
従来の個人情報保護法との相違点を理解しつつ、事案の発生原因の追究、二次被害の拡大防止のために本人への連絡など、適切な対応を行えるよう、体制を整えましょう。
取扱状況の把握及び安全管理措置の見直し
無事に安全管理措置を策定、構築したとしても、それで終わりではありません。
自らの安全管理措置の体制や運用状況について、定期的に見直し・改善を図る必要があります。
その方法として、番号方のガイドラインでは、特定個人情報等の取扱状況について、定期的に自ら行う点検または他部署等による監査を実施する事を例として挙げています。
また、外部の主体による他の監査活動を合わせて、監査を実施することも考えられるとしています。
マイナンバーの安全管理措置は、構築が最終目標ではありません。
従業員やその家族、取引相手や株主等の重大な情報であるマイナンバー、特定個人情報を保護する事こそに、目的があります
そのため、運用記録などの定期的な確認、従事者の教育、物理的措置の経年劣化などへの対応、情報技術の進歩へ対応など、一度構築すればそれで終わりではなく、組織的に安全管理措置を見直し、改善していく必要があるのです。
またこれには、外部の主体による監査も有効です。
中小規模事業者における特例
中小規模事業者においては、組織的安全管理措置について、以下のような軽減措置が特例として認められています。
| 項目 | 中小規模事業者における対応方法 |
|---|---|
| 取扱体制の整備 | マイナンバー事務取扱担当者が複数いる場合は「事務取扱担当」と「責任者」を区分する事が望ましい |
| 取扱規程等に基づく運用 |
取扱規程等に基づく運用状況を確認するため、 システムログ又は利用実績を記録する |
| 取扱状況を確認するための手段の整備 | 特定個人情報等の取扱状況のわかる記録を保存する |
| 情報漏えい等事案に対応する体制の整備 | かかる事態に備え、従業員から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておく |
| 取扱状況の把握及び安全管理措置の見直し | 責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う |
「特定個人情報等の取扱状況のわかる記録を保存する」とある項目については、具体的には次のように記録をつける事が例示されています。
実際には記録用のフォーマットやチェックリストを作成して、事務を行うたびにそれに記録、保存をする形式が望ましいと考えます。
そのためにも、特に理由がないのであれば中小規模事業者においてはマイナンバーは紙媒体での管理を行う方が、コスト低減に繋がるというのが、弊所の見解です。
