「中小規模事業者」に対しては、適当な手段を取る必要がある安全管理措置
安全管理措置の内容に関して、「中小規模事業者」に対しては、特例的で軽減措置が認められ
ていますが、マイナンバー法では、事務取扱担当者を明らかにして、具体に「安全管理措置の
検討手順」を定めていく必要があるのです。
中小規模事業者とは、従業員の数が100人以下の事業者になります。
以下の事業者を除く事業者となっています。
・ 個人番号利用事務実施者(行政機関等のこと)
・ 委託に基づいて個人番号関係事務または個人番号利用事務を業務として行う事業者
(税理士や社会保険労務士など)
・ 金融分野の事業者(生命保険代理業や金融ファンドなど)
・ 個人情報取扱事業者(取り扱う個人情報の本人の数が5000人を超える事業者。
なお、個人情報保護法の改正に伴って、ここは改正されることが予定されています)
たとえば、税理士事務所や社会保険労務士事務所では従業員が100人以下でも軽減措置の適用
を受けることはできませんが、そして、金融分野の事業者以外の一般会社では従業員100人以
下なら軽減措置を受けられます。
マイナンバー法の安全管理措置の6つのポイント見ておこう
マイナンバー法が定めているおこなうべき安全管理措置の内容として、
以下の項目が個人情報保護委員会のガイドラインあります。
A 基本方針の策定(任意)
B 取扱規程等の策定(義務的)
C 組織的安全管理措置(義務的)
D 人的安全管理措置(義務的)
E 物理的安全管理措置(義務的)
F 技術的安全管理措置(義務的)
6つのうちAの「基本方針の策定」は任意です。
従業員100人以下の会社やお店は、おこなったほうがいいですが義務はありません。
このあとB以下の項目を順番に説明してきます。
◆B 「取扱規程等の策定」は、「取扱規程等を策定しなければならない」とガイドラインに
書かれていますが、従業員が101人以上の会社の義務になっていて、
従業員100人以下の中小規模事業者は、取扱規程を策定しなくても構いません。
しかし、「特定個人情報等の取扱い等を明確化する」と「事務取扱担当者が変更となった場
合、確実な引継ぎを行い、責任ある立場の者が確認する」ことは、中小規模事業者にも求めら
れます。
具体的には誰が扱うかということと、担当者が代わったときには、業務の引き継ぎがちゃんと
おこなわれるということです。
◆C 以下5つの措置が「組織的安全管理措置」で定められています。
① 組織体制の整備
② 取扱規程等に基づく運用
③ 取扱状況を確認する手段の整備
④ 情報漏えい等事案に対応する体制の整備
⑤ 取扱状況の把握及び安全管理措置の見直し
① 「組織体制の整備」は中小規模事業者では、「事務取扱担当者が複数いる場合、
責任者と事務取扱担当者を区分することが望ましい」と書かれているので行うことは、
必須ではありません。
中小規模事業者では、責任者と事務取扱担当者を分けるほど大きな会社ではなく場合、
責任者を決めるといっても、個人番号を取り扱うのは1人か2人程度のことが多いでしょう。
この場合は、aは必要ありません。
② 「取扱規程等に基づく運用」は「システムログまたは利用実績を記録する」、
③ 「取扱状況を確認する手段の整備」は「取扱状況を確認するための手段」となっていて
「個人データ取扱台帳に相当するものを整備する」となっています。
上記は、従業員が101人以上いる会社の義務です。
中小規模事業者には軽減措置があって、システムログは必要なく、「特定個人情報等の取扱
下記の5つの措置が定められています。
「状況の分かる記録を保存する」となっていますから、なんらかの記録を残せば大丈夫です。
例をあげれば、「業務日誌で入手・廃棄、源泉徴収票の作成日、税務署への提出日等の、
特定個人情報等の取扱い状況を記録する」とガイドラインに記載があるので、
「○月○日に源泉徴収票△通を税務署に持っていった」などといった業務日誌を残せば大丈夫
です。
④ 「情報漏えい等事案に対応する体制の整備」とは、情報が漏えいがおきたときの報告体制
です。
これは「漏えいしたら○○部長に報告すると、従業員に周知しておく」という程度で大丈夫 です。
⑤ 「取扱状況の把握及び安全管理措置の見直し」は、定期点検をするということです。
これは「年に1回くらいは情報漏えいがなかったか、確認してください」というこです。
事務取扱担当者への「監督」と「教育」を徹底する必要せい
Dの「人的安全管理措置(義務的)」は、事務取扱担当者の「監督」と「教育」になっていて、
これには中小規模事業者への軽減措置がありませんが、この監督と教育は、「事務取扱担当者
以外の者は決してマイナンバーを扱わない」と従業員に周知して、事務取扱担当者にもそれを
徹底させていることが、多くの会社で行われています。
「管理区域」と「取扱区域」の取り扱いはどうする?ポイントとなる4つの措置
Eの「物理的安全管理措置(義務的)」では、次の4つの措置が定められています。
a 特定個人情報等を取り扱う区域の管理
b 機器および電子媒体等の盗難等の防止
c 電子媒体等を持ち出す場合の漏えい等の防止
d 個人番号の削除、機器および電子媒体等の廃棄
a「特定個人情報等を取り扱う区域の管理」とb「機器及び電子媒体等の盗難等の防止」
上記の2つには、中小規模事業者への軽減措置がありません。
ここでは、aの「特定個人情報等を取り扱う区域の管理」の「管理区域」と「取扱区域」とい
う新しい概念をみていきます。
・管理区域は「特定個人情報ファイルを取り扱う情報システムを管理する区域」
・取扱区域は「特定個人情報等を取り扱う事務を実施する区域」
ガイドラインには「入退室管理および管理区域へ持ち込む機器等の制限等が考えられる」
となっていますが、管理区域はコンピューターが置いてある場所です。
これは具体的にはコンピューターのサーバルームを示しています。
ただし、ほとんどの中小企業はサーバルームがないところが多いと思いますので、
あまり関係がありません。
この「管理区域」と「取扱区域」の措置と、
cの「電子媒体等を持ち出す場合の漏えい等の防止」はセットで考えることができます。
具体的には、「パソコンが盗難にあわない」ということが重要になります。
つまり、パソコンから情報が漏えいすることがないようにカギのかかるところに
保管しておくこと。
また、事務所を最後に退出するひとは、事務所のドアを必ず施錠しましょう。
結果として、マイナンバーの入っているパソコンは普段は使わずにカギのかかる場所に
保管しておくなどの措置をしてください。
その点、クラウドに預けている場合は、「会社のパソコンにはマイナンバーはありません」
というこのになるのでいちばん簡単です。
マイナンバーを取り扱うときの注意点は、不正アクセスやウイルスからパソコンを守ること
◆F 下記の4つの措置が「技術的安全管理措置(義務的)」には、定められています。
a アクセス制御
b アクセス者の識別と認証
c 外部からの不正アクセス等の防止
d 情報漏えい等の防止
この技術的安全管理措置は以下を取り扱わなければ、不要です。
・パソコン
・マイナンバー
ガイドラインではパソコンで取り扱う場合の、3つ目のポイントがあり、内閣官房があげているものです。
cの「外部からの不正アクセス等の防止」で「情報システムを外部からの不正アクセスまたは
不正ソフトウエアから保護する仕組みを導入し、適切に運用する」となっており、
パソコンで管理する場合であれば、必ずウイルス対策ソフトを導入するが必要です。
しかし、紙やクラウドに預けての管理であれば、上記の措置の必要はありません。
「取扱区域」に関する物理的安全管理措置とは、ガイドラインでは、「壁または間仕切り等の
設置および座席配置の工夫等が考えられる」となっていて、事務所での漏えい防止対策のこと
です。
これは、たとえであってすべて実行する必要は、ありません。
また、ガイドラインの他の箇所での記述では、「事務取扱担当者以外の者の往
来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等が考
えられます」と記載があります。
要は、誰かれ構わずにみれてしますようなところで事務取扱担当者を作業させては、いけないということです。
そのためだけに、部屋を用意する必要はありません。
座席や間仕切りなどの工夫、覗きみることの可能性の低い場所でいいのです。
会社を訪れた外部の人から、作業している内容が見えてしまうなどではいけません。
そのようなときは、うまく間仕切りを使って見えないように工夫してください。
源泉徴収票などを置いてある机が見えるのはまずいので、そうした作業は部屋の奥の机
使用するなどしてください。
「持ち出すときの漏えい防止」と盗難防止策はどうするのか?
bの「機器および電子媒体等の盗難等の防止」は大変重要度が高い事項です。
「特定個人情報等を取り扱う機器、電子媒体または書類等を、施錠できるキャビネット・書庫等
に保管する」ことなどが必要です。
もっとも、重要なものを3つ内閣官房があげています。その一つが「カギのかかるところに保
管すること」となっています。
C の「電子媒体等を持ち出す場合の漏えい等の防止」は、万が一データを持ち出すとき
は、持ち出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用などの安全
策を講じてください。
マイナンバーが書かれている物の削除や廃棄するには?
dの「個人番号の削除機器および電子媒体等の廃棄」は、内閣官房があげる3つの重要なポイン
トの一つです。
法律の規制上、「必要なくなったら、復元できないようにで削除または廃棄しなさい」という
のは当然の措置です。
民間企業がマイナンバーを保管する機会は、マイナンバー法上ではひとつしかありません。
そして、役所に提出するようがなくなれば個人番号を保有するだけで違法になります。
「扶養控除等(異動)申告書」は7年間の保管義務があります。
法律上の保管期限が経過したら、必ず削除、廃棄する必要があります。
ですので、マイナンバーの記載のある「扶養控除等(異動)申告書」は7年経過したら、必
ず廃棄してください。
なお、中小規模事業者は削除の記録は義務は、ありませんが「特定個人情報等を削除・廃棄し
たことを、責任ある立場の者が確認」をするこは必要です。
税理士や社会保険労務士預ける時は、情報管理をちゃんとしているところを選んで契約
「委託」とは、税理士や社会保険労務士の先生に預けることが、それにあたります。
しかし、「委託」でもまったく責任がないというわけではなく、委託先に対する監督義務があります。
具体的に下記の3つになります。
①委託先の適切な選定
選定するときには、情報管理が徹底しているところを選ぶべき
②安全管理措置に関する委託契約の締結
契約内容はいろいろな規制があります、もちろん、ITベンダーや税理士・社会保険労務士
はガイドラインに即した契約書を提示すると思いますが、内容をよく確認してから契約す
る。
③委託先における特定個人情報の取扱状況の把握
取扱状況の把握は、委託先から漏洩はないという報告をもらう
上記の言いたいことは、①きちんとした会社を選ぶ、②ちゃんと委託契約の締結、
③その特定個人情報がどんな扱われ方をしているかを把握することです。
安全管理措置と監督義務では、法的に比べた場合は監督義務の方が軽くなっています。
しかし、顧問先等から委託を受ける税理士事務所や社会保険労務士事務所は中小規模事業者に
は該当しませんので注意が必要です。
まとめ
ここまで、「安全管理措置」についてみてきましたが
いいかえれば、この「安全管理措置」とは、情報データを扱う上での
安心を確保するうえで絶対にやらなくてはいけないことです。
しかし、この「安全管理措置」で6項目ありますが、義務となっているのは5項目です。
・取扱規程等の策定(義務的)
中小規模事業者でも取扱い等を明確化する、事務取扱担当者が変更となった場合に引継
ぎ、責任ある立場の者が確認する。
・組織的安全管理措置(義務的)
なんらかの記録を残こす
・人的安全管理措置(義務的)
事務取扱担当者の「監督」と「教育」
・物理的安全管理措置(義務的)
情報機器から情報が漏えいすることがないようにカギのかかるところに保管しておく
情報を取扱う際の場所の工夫(間仕切りなど)
データを持ち出する際のパスワードの設定などの安全策を講じる
削除や廃棄は、確実におこなう
・技術的安全管理措置(義務的)
「情報システムを外部からの不正アクセスまたは不正ソフトウエアから保護する
仕組みを導入し、適切に運用する」とガイドにありますが
尚、クラウドやパソコンでマイナンバーを取り扱わなければ、すべて不要です。