これまで、マイナンバー法で定められえている安全管理措置の「組織」と「人」について解説しましたが、今回は「物理?」的安全管理措置です。
この場合の「物理」というのや、「モノ」や「場所」のことです。
マイナンバー情報を取り扱う上で、「パソコンや書類(モノ)」「事務スペース(場所)」をどのように安全に管理するかということです。
物理的安全管理措置は4つ項目に分かれています。
- a.特定個人情報等を取り扱う区域の管理
- b.機器及び電子媒体等の盗難等の防止
- c.電子媒体等を持ち出す場合の漏えい等の防止
- d.個人番号の削除、機器及び電子媒体等の廃棄
それでは、毎度のことながら、ガイドラインを確認してみます。
a.特定個人情報等を取り扱う区域の管理
a.特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。
≪手法の例示≫
*管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ持ち込む機器等の制限等が考えられる。
*入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる。
*取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及び座席配置の工夫等が考えられる。
マイナンバー情報を保存したパソコンやサーバ等が設置されている「管理区域」と、マイナンバー事務を取り扱うことができる「取扱区域」を明確にして、「入退室の管理」「のぞき見の防止」などの対策が必要とされています。
ここでいう「管理区域」ですが、これは社内情報システムのマシン室やサーバルームを想定しているのですが、普通の中小企業にはないと思います。
また「入退室の管理」についても、ICカード等による本格的な入退室管理システムを導入できれば一番良いのですが、多くの中小企業にとっては現実的ではありません。
そこで、具体的な対策としては、以下のようなことを行うのが良いでしょう
・間仕切り等でマイナンバー事務を取り扱う区域を明確にして、マイナンバー事務に無関係な社員は区域内へ立ち入らないよう制限を行う。
b.機器及び電子媒体等の盗難等の防止
b.機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。
≪手法の例示≫
*特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。
*特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定すること等が考えられる。
こちら盗難や紛失防止についての規定です。
マイナンバー情報が記録された書類や電子媒体(CD-Rなど)は、鍵付きのキャビネットに保存し、パソコン等はワイヤで固定して持ち出せないようにするということです。
特に、中小企業にとって難しいことはなさそうです。
c.電子媒体等を持ち出す場合の漏えい等の防止
c.電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。
「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある。
≪手法の例示≫
*特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等が考えられる。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従う。
*特定個人情報等が記載された書類等を安全に持ち出す方法としては、封緘、目隠しシールの貼付を行うこと等が考えられる。
【中小規模事業者における対応方法】
特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
マイナンバー情報が保存されたファイルを持ち出す、移動する場合には、暗号化、パスワードの設定をしておくことが求められています。
また、書類についても同じように、封をした上で、目隠しシールなどで内部が見えないようすることが求められています。
中小規模事業者の軽減措置がありますが、パスワード設定や封かんが定められているので、最低限の安全対策は必要です。
d.個人番号の削除、機器及び電子媒体等の廃棄
d.個人番号の削除、機器及び電子媒体等の廃棄
個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。→ガイドライン第4-3-(3)B「保管制限と廃棄」参照
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
≪手法の例示≫
*特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元、不可能な手段を採用する。
*特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
*特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
*特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
* 個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定める。
【中小規模事業者における対応方法】
特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
マイナンバー情報のデータの削除とパソコンや書類の廃棄についてです。
これは簡単に言ってしまえば、以下のことになります。
・復元できないように削除、廃棄する。
・削除、廃棄した際は記録する。
中小規模事業者であれば、「責任ある立場の者が、確実に削除、廃棄したこを確認するだけで良い」という軽減措置があります。
中小規模企業であっても情報管理を軽く考えてはいけません
「a.特定個人情報等を取り扱う区域の管理」や「b.機器及び電子媒体等の盗難等の防止」でも触れましたが、マイナンバー情報を取り扱う区域を明確にする、盗難を防止するなどの対策は必須です。
これは、規模にかかわらずどの企業でも行わなければいけません。
言い換えれば、「この対策ができないていない企業は、情報管理がずさん」ということが、すぐに分かってしまいます。
このような細かいことの実践からでも企業の信用を得ることができます。マイナンバーに限らず、情報管理は軽く考えずに確実に行ってください。