そろそろ無視できないマイナンバー⑪安全管理措置

• 2015年08月12日
• マイナンバー

そろそろ無視できないマイナンバー⑪

前回に引き続き、マイナンバーについての11回目です。

前回の記事も是非、ご覧ください。　⇒　そろそろ無視できないマイナンバー⑩

 記載内容は8月1日時点での情報を元に作成しています。

最新の情報は内閣官房、国税庁、特定個人情報保護委員会などのHPをご覧ください。

 ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として

1. （A)組織体制の整備
2. （B)取扱規定に基づく運用
3. （C)取扱状況を確認する手段の整備
4. （D)情報漏えい等事案の対応する体制の整備
5. （E)取扱状況の把握及び安全管理措置の見直し

上記の5つがありました。前回はDについての話でした。

今回はEの「取扱状況の把握及び安全管理措置の見直し」についてです。AからDまででマイナンバーを取り扱うための体制を整備してきましたが、Eはそれを監査する体制を整備することを求めています。 

ガイドラインは次のようにしています。

• ・特定個人情報等の取扱状況について、定期的に自ら行う点検、他部署等による監査を実施する。
• ・外部主体による他の監査活動に合わせて、監査を実施する。

 監査ですので当然、独立性がなければなりません。

身分的にも精神的にも偏りがあってはいけません。

また、個人情報担当役員や、個人情報保護委員会を設置しているならばそれらも監査対象なので

• 監査部門は取締役会、代表者の直下に配置することが好ましいです。

 また、

• 監査の有効性は記録に左右される

 ため、Cの「取扱状況を確認する手段の整備」は特に重要です。

システムの利用申請書、入退室記録などが残るよう業務フローやシステムの変更も必要です。

Eの中小規模事業者の特例は

• 責任のある立場の者が、特定個人情報等の取扱状況について定期的に点検を行う

となっています。

人員的に監査部門の設置自体が難しいので当然といえます。

ただ、心理的な偏向がないよう十分に注意しなければなりません。