さて「安全管理措置概要編」で述べましたが、安全管理措置は全部で4つあります。(安全管理措置とはマイナンバーを適切に管理するためにするべき対策です)
・組織的安全管理措置
・人的安全管理措置
・物理的安全管理措置
・技術的安全管理措置
1番目の「組織的安全管理措置」について、詳しく解説したいと思います。
組織的安全措置の5つの項目
組織的安全管理措置は、さらに5つの項目に分かれています。
- a.組織体制の整備
- b.取扱規程等に基づく運用
- c.取扱状況を確認する手段の整備
- d.情報漏えい等事案に対応する体制の整備
- e.取扱状況の把握及び安全管理措置の見直し
このままではよく分からないと思うの、分かりやすい表現にします。
- a.安全管理措置を行うための組織を作りましょう
- b.規定通りの運用になっているか、運用の履歴を記録しましょう
- c.マイナンバー関連ファイルや書類、事務担当者などを定めておきましょう
- d.情報漏えい事故が起きた場合の体制を整備しましょう
- e.運用状況を把握して、必要に応じて見直しをしましょう
なんとなく何をしなければいけないかがイメージできたと思います。
それでは、具体的にどうすればよいのか?
マイナンバー法のガイドラインには、以下のように具体的な対応策も定められています。
具体的な対応策
まずは、「a.組織体制の整備」と「b.取扱規程等に基づく運用」のガイドラインを確認してみます。
a.組織体制の整備
安全管理措置を講ずるための組織体制を整備する。
≪手法の例示≫
*組織体制として整備する項目は、次に掲げるものが挙げられる。
・事務における責任者の設置及び責任の明確化
・事務取扱担当者の明確化及びその役割の明確化
・事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
・事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
・情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制
・特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
b.取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。
≪手法の例示≫
*記録する項目としては、次に掲げるものが挙げられる。
・特定個人情報ファイルの利用・出力状況の記録
・書類・媒体等の持出しの記録
・特定個人情報ファイルの削除・廃棄記録
・削除・廃棄を委託した場合、これを証明する記録等
・特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
うーん、正直にいって、普通の中小企業にとって、これを厳密に実行するのは困難なような気がします。
特に「b.取扱規程等に基づく運用」には、「システムログ又は運用実績を記録する」ことが求められています。
これは、「いつ」「誰が」「どの書類(またはファイル)」「何のために」「利用又は出力(印刷など)」したかをを記録しなくてはいけないので、とても面倒です。
おそらく、これを円滑に行うには、情報システムの導入が現実的な解決策のはずです。
しかし、多くの中小企業にとって人的資源や資金面で対応が難しいのではないでしょうか?
そこで、従業員が100人以下であれば、「軽減措置」の可能性があります。
(従業員が101人以上の企業は、軽減措置はなく上記内容を実行しなければなりません)
軽減措置については後述しますので、次いで「c.取扱状況を確認する手段の整備」「d.情報漏えい等事案に対応する体制の整備」「e.取扱状況の把握及び安全管理措置の見直し」の内容も、一気に確認します。
c.取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備する。なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。
≪手法の例示≫
*取扱状況を確認するための記録等としては、次に掲げるものが挙げられる。
・特定個人情報ファイルの種類、名称
・責任者、取扱部署
・利用目的
・削除・廃棄状況
・アクセス権を有する者
d.情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。
≪手法の例示≫
*情報漏えい等の事案の発生時に、次のような対応を行うことを念頭に、体制を整備することが考えられる。
・事実関係の調査及び原因の究明
・影響を受ける可能性のある本人への連絡
・委員会及び主務大臣等への報告
・再発防止策の検討及び決定
・事実関係及び再発防止策等の公表
e.取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。
≪手法の例示≫
*特定個人情報等の取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。
*外部の主体による他の監査活動と合わせて、監査を実施することも考えられる。
ナナメ読みをしただけでも、雰囲気が分かると思いますが、今まで、個人情報の管理を意識してこなかった企業にとって、規定の作成や事務手続きがかなり増えます。
繰り返しになりますが、従業員が101人以上の企業は、これらを実行しなくてはいけません。この規模の企業で安全管理措置を確実に行うには、情報システムが必要になるので、付き合いのあるITベンダー(情報システム開発会社)に相談してください。
中小規模事業者の定義
中小企業にとって、上記の安全管理措置の対応は難しいのが現実です。
そのため、「中小規模事業者」(中小企業ではない)には、軽減措置があります。
この中小規模事業者とは、簡単に言えば「従業員が100人以下の企業」です。
厳密には、以下のように定義されています。
「中小規模事業者」とは、事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいう。
・個人番号利用事務実施者(税務署・年金事務所・健康保険組合・ハローワークなど)
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者(主に民間企業・税理士・社会保 険労務士など)
・金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
・個人情報取扱事業者(詳しくは個人情報保護法による定義を見てください)
4番目の「個人情報取扱事業者」が重要なポイントです。
サービス業などで、過去6か月間に5000人以上の個人情報を保持している場合は、個人情報保護法による個人情報取扱事業者に該当します。
そのため、中小規模事業者にはならないので注意が必要です。この場合は、従業員101人以上の企業と同じ扱いになります。
中小規模事業者の軽減措置
もし、中小企業事業者に該当する場合は、以下のことを最低限行えばよいことになっています。
a.組織体制の整備
事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい。
→具体例:責任者と担当者を明確にする。
b.取扱規程等に基づく運用
特定個人情報等の取扱状況の分かる記録を保存する。
→具体例:業務日報などに記録する。
c.取扱状況を確認する手段の整備
特定個人情報等の取扱状況の分かる記録を保存する。
→具体例:業務日報などに記録する。
d.情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。
→具体例:漏えい事故等発生時の連絡手順を文書化する。
e.取扱状況の把握及び安全管理措置の見直し
責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。
→具体例:責任者が定期点検する。
一気に簡単になりました。中小規模事業者とそれ以外ではえらい違いです。
…ところが、世の中そんなに甘くないんです。
中小規模事業者の軽減措置撤廃の可能性
2015年9月にマイナンバー法と併せて、改正個人情報保護法が成立しました。
その改正個人情報保護法には個人情報取扱事業者の5000人の要件が撤廃されました。
5000人要件がないということは、ほとんどの事業者が「個人情報取扱事業者」に該当するということです。
すなわち、軽減措置の要件であった「従業員が100人以下でかつ、個人情報取扱事業者ではない」が無効になるということです。
5000人要件が撤廃されるのは「公布の日から起算して2年を超えない範囲内において政令で定める日」となっているので、平成29年ごろと予想されています。
近い将来、マイナンバー制度における安全管理措置の軽減措置撤廃や修正が予想されます。
中小企業だからといって軽減措置に甘んじた管理体制にするのではなく、もうすでに先を見据えた体制整備が必要になっています。
