連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

第6回:マイナンバー制度の企業対応 ~人的安全管理措置のカギは教育にあり~

eラーニング セキュリティ マイナンバー 人事/労務

“人的安全管理措置”とは、何をすればいいのでしょうか? 「特定個人情報の取扱いに関するガイドライン(事業者編)」(以下、ガイドライン)では、以下の2つを実施しなければならないと書かれています。

  • 1. 事務取扱担当者の監督
  • 2. 事務取扱担当者の教育

どんなに立派なルールを作ろうと、どんなにすごい安全管理措置を講じようと、そのルールを守り、安全管理措置を実施するのは"ヒト"です。この"ヒト"に様々な安全管理措置を含むルール周知し、守らせる、それが人的安全管理措置となります。

事務取扱担当者の監督

ガイドラインでは、"特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して、必要かつ適切な監督を行う"と書かれています。
監督とは、直接に指導し、指揮や統率するという意味です。以下を実施することになります。

  • 1. 就業規則にマイナンバーを含む秘密保持に関する事項を規定する。(参照:就業規則の記載例
  • 2. 機密保持に関する「誓約書」を作成し、合意する。
  • 3. 「就業規則」や「誓約書」に規定違反に対する懲罰を規定する。
  • 4. 「誓約書」では、人事異動や退職により事務取扱担当者から外れた場合にも機密保持は継続することを明示する。

中小企業の場合、上記1を実施し、さらにマイナンバーの取扱いルールの周知や教育を実施してください。これらをもって、監督していると判断されます。

事務取扱担当者の教育

ガイドラインでは、"事務取扱担当者に、特定個人情報等の取扱いを周知徹底するとともに適切な教育を行う"と書かれています。
教育について、適切に行われているかどうかの判断は、実施時期や頻度、内容、実施した教育の理解度により行います。具体的には、以下が考えられます。

  • 1. 「年間教育計画書」を作成する。
  • 2. 「年間教育計画書」に従い、教育を実施する。また、教育した内容が理解されたかどうかを確認する。実施した教育の「教育実施記録」を作成する。

教育の計画、実施について、下表にまとめました。

実施時期・頻度

6ヶ月あるいは年1回など定期的に実施するのが望ましい。定期的な教育の他、以下の場合にも実施する。

  • 事務取扱担当者や責任者が交代した時
  • マイナンバーや個人情報保護に関する法令が改正された時
  • 関連する規定が改訂された時
  • 情報漏洩に関する事件・事故が発生した時
内容
  • 特定個人情報取扱規程の周知
  • 法令、規定が改訂された場合、その内容
  • 情報漏洩に関する事故・事件の内容、原因、被害、影響
理解度の確認
  • 理解度確認テストを実施する
  • 教育の場で口頭による質疑で確認する
  • 日常業務を監督、監視する

中小企業の場合、事務取扱担当者は1~2名の人が交代することなく、長年、担当することが多いと思います。このような場合、ルールを数回、説明し、理解されていれば、以降は特に教育をしなくもいいような気になりますが、「年間教育計画書」を作成しないまでも、6ヶ月または1年に1回程度、ルールを再確認しましょう。」

【年間教育計画の例】

○○年度 教育計画書

テーマ・内容 対象者 4月 5月 6月 7月 8月 9月
規定の確認 事務取扱担当者          
業務の流れの確認 事務取扱担当者          
法令の理解 事務取扱担当者          
規定や業務の流れの説明   人事異動が生じた場合
事件・事故の事例に学ぶ   社内外で重大な事件・事故が発生した場合

【教育実施記録の例】

教育実施記録

実施日時 ○○○○年○○月○○日(○) ○○:○○~○○:○○
実施場所 会議室
講師 総務部長 ○○○○
受講者 □□□□、△△△△
内容
  • 1. 「特定個人情報取扱規定」の読み合わせ
  • 2. マイナンバーを取扱う業務の確認
  • 3. マイナンバーの入手、利用、提供、廃棄が発生した場合の記録の残し方
理解度の確認 受講者に口頭で質問し、回答を得た。理解度がさらに増したと考える。

まとめ

人的安全管理措置では事務取扱担当者の監督・教育における上記の対応が必須となります。しかし、実際に企業が求められる知識やモラルは、担当者だけに留まりません。
私が今まで勤務した会社での経験や、ISMS(情報セキュリティ)の審査員としての経験では、重要な情報が置かれている業務実施場所への入館証を紛失することで第三者へ権限を与えることになってしまったり、同僚に送るつもりの社外秘のファイルを取引先の同名の人に送ってしまったケースがあります。
また、過去の情報漏洩事件では、個人の営利目的や、会社に対する一方的な悪意など、モラルに欠ける行動が発端となっているケースも見受けられます。 こういった事故を防ぐためには、担当者が正しい知識やモラルを身に付けるだけでなく、それを周りに啓蒙していくことも大切です。

【今回のポイント】
● 就業規則マイナンバーを含む秘密保持に関する事項を規定する。
● マイナンバー取扱いルールを周知、確認するための教育を実施する。

この記事のライター
羽田 一彰(はだ かずあき)

S&A JAPAN株式会社 取締役/チーフコンサルタント
ISO27001、ISO9001審査員
中小企業の勤務経験を活かして、従業員100名以下の中小企業に対してマネジメントシステム導入と運用の支援を中心に活動する傍ら、2015年にマイナンバー検定2級を取得し、マイナンバー対応に関する講演も行っている。

会社Webサイト
S&A JAPAN株式会社
関連記事

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook