連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

第1回:マイナンバー制度の「安全管理措置」って何をすればいいの?

eラーニング セキュリティ マイナンバー 人事/労務

マイナンバー制度における個人番号の利用開始まで残すところ1ヶ月となりました。このコラムをお読みの皆様は自社での対応で何らかの実務に携わっていると思いますが、準備は順調に進んでおりますでしょうか?

帝国データバンク社が10月に実施した調査によると、対応が完了した企業はわずか6.4%で、中小零細企業と大企業で制度内容についての認知度が低いという結果となっていたとのことでした。

マイナンバー制度に対する企業の意識調査(帝国データバンク)

行政手続における特定の個人を識別するための番号の利用等に関する法律、いわゆるマイナンバー法ですが、法律の文章は難解なため、「特定個人情報保護委員会」という内閣府外局の第三者機関がガイドラインを出しています。

ガイドライン入門:26年12月版(特定個人情報保護委員会事務局)

一度はご覧になられた方がほとんどだと思いますが、そのガイドラインに「安全管理措置」という言葉が出てきます。第一回のコラムではこの「安全管理措置」の全体像について解説したいと思います。

安全管理措置とは

マイナンバー法では個人番号(以下、マイナンバー)を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限し、さらにマイナンバーの管理についても、一定の制限の下での管理を求めています。
この管理方法を定めてあるのが「安全管理措置」で、企業が個人番号や特定個人情報の漏洩や紛失または毀損を防止するために設定された措置をいいます。
要するに「安全に管理できるような体制を整えなさい」ということです。
この安全管理措置の実施が実は企業にとってもっとも負担が大きいところなのです。
(すでに皆様も苦労されていらっしゃるかと思いますが)

安全管理措置の4分野

この安全管理措置は、
1. 組織的安全管理措置
2. 人的安全管理措置
3. 物理的安全管理措置
4. 技術的安全管理措置

4つの分野に分類されていて、それぞれについて下表のような項目が設定されています。

組織的安全管理措置 ・組織体制の整備
・取扱規程等に基づく運用
・取扱状況を確認する手段の整備
・情報漏洩事案に対応する体制の整備
・取扱状況把握及び安全管理措置の見直し
人的安全管理措置 ・事務取扱担当者の監督
・事務取扱担当者の教育
物理的安全管理措置 ・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏洩等の防止
・個人番号の削除、機器及び電子媒体等の廃棄
技術的安全管理措置 ・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏洩等の防止

各分野については次回以降でひとつずつ詳しく解説していきますので、ここでは4つに分類されているということだけ覚えておいてください。

一部の事業者には緩和措置があるけれど・・・

マイナンバー制度では、従業員が1名の企業であろうが例外なく情報が漏えいすることがないよう、徹底した管理のもとで運用を行なっていかなければならないとされていますが、すべての企業に一律に高次元の対策を求めることは現実的ではありません。
ですので、従業員数が100人以下の事業者に対しては求める管理等が多少緩和されています。
たとえば、組織的安全管理措置の「取扱規程等に基づく運用」の場合でみると、原則として求められる対応は、「取扱規程等に基づく運用状況を確認するため、システムログまたは利用実績を記録する」とありますが、従業員数100人以下の場合は、「特定個人情報等の取扱状況のわかる記録を保存する」とするなど、一部例外的な取り扱いが設けられています。
ただし、すべての内容に例外措置が設けられているわけではありませんので、自社が従業員数100人以下であったとしても、原則として求められる対策の内容を確認・理解し、講じられる措置はできるようにしておくべきでしょう。
ちなみに、従業員数には正社員以外に、直接雇用のパートタイマー・アルバイトや嘱託社員も含まれます。全国に工場や支店が複数分かれており完全に独立をしている場合でなければ、従業員数は合算して計算します。

安全管理措置実施の5ステップ

この安全管理措置を実施するためには、以下の5つの手順に沿って検討をするようにとされています。

1. 個人番号を取り扱う事務の範囲を明確にする
2. 特定個人情報等の範囲を明確にする
3. 事務取り扱い担当者を明確にする
4. 基本方針を策定する
5. 取扱規程等を策定する

各ステップについていろいろと準備することがあるのですが、文章で説明すると理解に抜け漏れが出てしまいますのでチェックリストを作成してみました。
こうやって整理すると準備が済んだものとそうでないものが一目瞭然になりますのでぜひご活用下さい。

ステップチェック項目
個人番号を取り扱う事務の範囲 自社で行う事務は何か?
委託業者はどこにするか?
特定個人情報等の範囲 従業員の個人情報を取り扱う範囲は明確か?
取引のある個人事業主の情報をどのように取り扱うか?
事務取り扱い担当者の明確化 担当者の部署・人数、責任者は決まっているか?
情報として取得する項目が決まっているか?
通知した利用目的から逸脱していないか?
保管場所と保管方法は決まっているか?
アクセス権限を有する者は明確か?
利用期限は定まっているか?
その他マイナンバーデータの適正な取り扱いに必要な情報はまとまっているか?
基本方針の策定 従業員への教育研修を行っているか?
業務プロセスは明確か?
情報システムは整っているか?
内部監査の整備ができているか?
基本方針が策定できているか?
取り扱い規程等の策定 組織体制を記した書類を整えたか?
担当者の監視・監督を書類に明記してあるか?
マイナンバーを取り扱う領域を文書化したか?
漏えい防止策やアクセス制限などの安全管理措置の方法は文書化したか?
マイナンバーを取り扱う場面ごと(取得、利用、保存、提供、削除・廃棄)での具体的な方法を文書化したか?
就業規則を変更したか?
職務分掌規程を変更したか?
文書管理規程、情報セキュリティ規程、内部監査規程を変更したか?
マイナンバー取り扱いマニュアルは用意できているか?
事務フローの手順書は用意できているか?


5ステップのチェックリスト(印刷用PDF)

外部委託時の留意点

新しい制度がスタートする時は関連サービスを提供する事業者がビジネスチャンスということで雨後の筍のように出てきます。
一方、中小零細企業ではマイナンバー対応だけに貴重な人材をあてる訳にもいかないため外部の協力を仰ぐ場面も出てくると思います。
ところが中にはビジネス先行で管理体制が整っていない業者もいるかもしれないのが現実です。
業者選定ではどうしても"コスト優先"になりがちですが、大事な個人情報を任せるわけですから適切な業者を選びたいものです。
複数の業者に声をかけるのは当たり前ですが、ぜひ以下の点を確認してみてください。

・自社の規模や体制を理解した提案をしてくれる
・質問事項に対して、専門用語ばかり使わず、分かりやすく丁寧に回答してくれる
・なぜそのコストがかかるのかを、しっかり説明ができる

適切な回答がなければいくら安くてもそこに依頼するのはやめましょう。
もちろんパートナーを選ぶ際に、選ぶ側にもそれなりの専門知識が必要になるのは言うまでもありません。
「外部にお任せ」ではなく、最低でも責任者クラスの方々と担当者はマイナンバーの管理運用についての知識を習得しておくべきでしょう。

法律的な罰則規定はない

安全管理措置で必要とされる具体的対策について、ガイドラインではあくまでも「努力義務」とされていますので、全ての対策を講じていないと直ちに法律違反であるということにはなりません。
しかし、万が一マイナンバーの漏えいや事件が発生した時には、「どこまで安全管理措置を行っていたか」という点については、係争に至った時点での評価に大きく影響があるものと想定されます。
私は社会保険労務士としてご支援をしている企業からマイナンバー対応についてご相談を受けるのですが、数が多いのは以下の事項です。

・本当にガイドラインにあるような物理的安全管理措置として、オフィス内の間仕切りやレイアウト変更まで行わないといけないのでしょうか
・アクセス制限など難しい技術は分からないしできないのにどうすればいいのでしょう
・取り扱い担当者に、実際どこまでマイナンバーを管理させればいいのでしょうか

扱う情報が情報だけに皆様もかなりナーバスになっていらっしゃるのではないでしょうか?
私がアドバイスさせていただく時は「その会社の実情にあった対応方法」をご提案させていただいています。上のオフィスレイアウトの例については、実務に支障が出ない範囲で一部の席を人の通りが少ない場所に移動するアドバイスをしました。
講じられた措置に抜けが多く企業リスクが高いとなるのはいただけませんが、ガチガチに措置を講じてしまい、結果として業務に支障が生じるのはオススメできません。
いずれにしても現時点で100%完璧な体制を構築するのは不可能です。
どの企業も手探り状態ですので、現実的には実際に業務を行いながら一度定めた安全管理措置を定期的の見直しを行い、自社にマッチした安全管理措置としていくことになるでしょう。
では、次回以降、4つの分野それぞれについて詳しく見ていきましょう。

【今回のポイント】
●安全管理措置には4つの分野がある
●安全管理措置の実施は5つのステップで考える
●運用しながら改善していくことを前提に体制を整える

この記事のライター
成澤 紀美(なりさわ きみ)

株式会社スマイング取締役。
SEを経験した後、社会保険労務士を取得し独立。
人事労務のホームドクターとして、中小企業向けに人事労務関連サービスをワンストップで提供している。

関連記事

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook