マイナンバー通知カードが、10月23日から順次配達されるという報道がありました。
配達時期は地域によって違うようですが、住民票のある住所宛てに書留で届きます。
不在だった場合は、「ピンク色のマイナンバー専用不在票」が入っているということなので、後日、確実に受け取るようしてください。
それでは、本日は「安全管理措置」について解説したいと思います。
「安全管理」というのは、その言葉のとおり「マイナンバーを適切(安全)に管理する」ために行う対策です。
安全管理措置は4種類ある
マイナンバー法においては、次の4つの安全管理措置が必要と決められています。
(ちなみに、個人情報保護法においても同じ4つです。マイナンバー法は個人情報保護法を踏襲しています)
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
それぞれについて確認していきましょう。
組織的安全管理措置
ガイドラインには、組織的安全管理措置は次のように定義されています。
b.取扱規程等に基づく運用
c.取扱状況を確認する手段の整備
d.情報漏えい等事案に対応する体制の整備
e.取扱状況の把握及び安全管理措置の見直し
なんだか、よく分からないと思うので、もう少し簡単に表現してみます。
b.マイナンバーを運用するためのルールを定めましょう
c.決められてルールが守らているか確認できるようにしましょう
d.情報漏えいなどの事故が起きた場合の対応マニュアルを作りましょう
e.今の仕組みで本当に良いか?定期的に見直しましょう
担当者や担当部門を決めるのは、当たり前ですが、それに加えて、運用ルールやマニュアルの作成、そのチェック体制も構築するように求められています。
人的安全管理措置
同じようにガイドラインには、人的安全管理措置は次のように定義されています。
b.事務取扱担当者の教育
要するに、マイナンバーを扱う「担当者」に「教育を行い」、また正しくできているか「監督」する必要があるということです。
物理的安全管理措置
b.機器及び電子媒体等の盗難等の防止
c.電子媒体等を持ち出す場合の漏えい等の防止
d.個人番号の削除、機器及び電子媒体等の廃棄
この場合の「物理的」とは、マイナンバー事務を行う「場所」、また、マイナンバーを保存した「コンピュータ」や「電子媒体(CD-R等)」などを指しています。
ガイドラインでは、この場所やコンピュータの適切な管理方法を定めて、安全に運用することが求められています。
技術的安全管理措置
b.アクセス者の識別と認証
c.外部からの不正アクセス等の防止
d.情報漏えい等の防止
これは難しいのですが、主に「情報システム」のことを指しています。
情報システムの専門知識が必要なため、中小事業者では、対応が難しい分野です。
安全管理措置は企業の規模や実態に合わせた対応が必要
以上、4つの安全管理措置について簡単に触れました。
大企業、中小企業問わず、安全管理措置を定めることは必要です。
しかし、その対応のレベルは企業の規模や事業内容に合わせることができます。
たとえば、中小規模事業者(※)では軽減措置というものが、ガイドラインで定められています。(この軽減措置については、安全管理措置の詳細で触れます)
いずれにしても、中小規模事業者だから安全管理措置をしなくてよいということはなく、やらなくてはいけない項目が、たくさんあることはお分かりいただけましたでしょうか。
次回以降は、4つの安全管理措置の詳細について述べたいと思います。
- (※)中小規模事業者とは
- 従業員数が100人以下の事業者で、委託に基づいて個人番号利用事務を業務として行う事業者(税理士、社会保険労務士など)や金融分野の事業者(生命保険代理業、金融ファンドなど)、個人情報取扱事業者(個人情報の取扱いが過去6ヶ月以内のいずれかの日において5000件を超える事業者)以外の事業者のこと。