そろそろ無視できないマイナンバー⑦安全管理措置

• 2015年06月24日
• マイナンバー

出典　内閣官房ＨＰ　マイナンバー広報用ポスター

前回に引き続き、マイナンバーについての7回目です。

前回の記事も是非、ご覧ください。　⇒　そろそろ無視できないマイナンバー⑥

記載内容は6月1日時点での情報を元に作成しています。

最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。

前回は取扱規定の策定について書かせていただきました。

法律で義務付けられている4つの安全管理措置について具体的内容に入っていきます。

今回からは組織的安全管理措置です。

ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として

1. (A)組織体制の整備
2. (B)取扱規定に基づく運用
3. (C)取扱状況を確認する手段の整備
4. (D)情報漏えい等事案の対応する体制の整備
5. (E)取扱状況の確認及び安全管理措置の見直し

上記5つを義務付けています。

ガイドラインによるとAの組織訂正の整備については次のようなことを求めています。

1. 1.事務における責任者設置及び責任の明確化
2. 2.事務取扱担当者の明確化及びその役割の明確化
3. 3.事務取扱担当者が取り扱うマイナンバーを含む個人情報の明確化
4. 4.事務取扱担当者が取扱規定等に違反している事実、兆候を把握した場合の責任者への報告連絡体制
5. 5.情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制
6. 6.特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担、責任の明確化

1、2、6についてですが、

• 作業責任者、運用責任者のような役職を設置し、マイナンバーを含む個人情報を取り扱う担当者も特定することが必要です。

また、マイナンバーを含む個人情報の取り扱いについて、部署、従業者ごとに取扱いにばらつきが出ないよう、

• 基本方針、取扱規定に基づくマニュアルなどに役割、責任を明確に定めることが必要です。

ある程度の規模の事業者は組織的に保護措置を行うために個人情保護担当役員を選任し、個人情報保護を専門とする委員会を作ることも考えられます。また、部門ごとに管理責任者を置くことも有効です。

Eの取扱状況の確認及び安全管理措置の見直しにもかかわってきますが、監査部門の設置も必要です。

3についてですが、税、社会保障、災害対策の３分野の事務においてマイナンバーの記載が必要になるわけですが、もともと３分野という範囲が決まっているのでその事務に必要なマイナンバーを含む個人情報の範囲も自ずと決まってきます。

4、5についてですが、

今回の年金機構の個人情報漏洩事件にように現場で情報が止まり、初動が遅れる、対処が全くなされないことが最大のリスクです。

• 報告ルールの策定、従業者への周知、教育
• 複数の報告ルートを設定する

ことがポイントとなります。

複数の報告ルートを設定するのは所属長などの上司が違反している場合も考えられるためです。

Aの組織体制の整備を見てきましたが、

• ここでも中小規模事業者の特例があります。

ガイドラインのよると中小規模事業者における対応方法は

• 事務担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい。

となっています。「望ましい」となっているため努力義務です。

小規模の場合は人員自体が少ないため一人が複数の業務を掛け持つことは珍しいことではありませんので当然の措置とも言えます。

今回はここまで。

マイナンバーの相談は是非、お近くの社労士まで