基本方針に記載する事項
組織として個人番号の適切な取り扱いの確保に取り組むためには、基本方針を策定する必要があります。
基本方針に定める項目
- 事業者の名称
- 関係法令・ガイドライン等の遵守
- 安全管理措置に関する事項
- 質問および苦情対応の窓口
等
取扱規程等の策定の留意点
取扱規程等の策定にあたっては、検討の手順で明確化した事項をもとに事業の流れを整理したうえで、特定個人情報等の具体的な取り扱いを定める取扱規程を定める必要があります。
取扱規程等は、次に掲げる管理段階ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定めることが考えられます。
- 取得する段階
- 利用を行う段階
- 保存する段階
- 提供を行う段階
- 削除・廃棄を行う段階
例:源泉徴収票等を作成する事務の場合
次のような事務フローに即して、手続を明確にしておくことが重要であると、ガイドライン別添資料に記されています。
- 従業員等から提出された書類等を取りまとめる方法
- 取りまとめた書類等の源泉徴収票等の作成部署への移動方法
- 情報システムへの個人番号を含むデータ入力方法
- 源泉徴収票等の作成方法
- 源泉徴収票等の行政機関等への提出方法
- 源泉徴収票等の本人への交付方法
- 源泉徴収票等の控え、従業員等から提出された書類および情報システムで取り扱うファイル等の保存方法
- 法定保存期間を経過した源泉徴収票等の控え等の廃棄・削除方法
等
組織的安全管理措置とは
事業者は、個人番号を適切に取り扱うため、組織的安全管理措置を講じる必要があります。
- 織体制の整備
- 取扱規程等に蟇づく運用
- 取扱状況を確認する手段の整備
- 情報漏えい等聿案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
組織体制の整備方法
組織体制として整備する項目
- 事務における責任者の設置及び責任の明確化
- 事務取扱担当者の明確化及びその役割の明確化
- 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
- 事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
- 情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制
- 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
取扱規程等に基づく運用状況の確認
取扱規程等に基づく運用状況を確保するために、システムログ又は利用実績を記録します。
記録する項目
- 特定個人情報ファイルの利用・出力状況の記録
- 書類・媒体等の持出しの記録
- 特定個人情報ファイルの削除・廃棄記録
- 削除・廃棄を委託した場合、これを証明する記録
- 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績アクセスログ等)の記録
取扱状況を確認する手段の整備
取扱状況を確認する手段として記録を残すことが考えられますが、この際に個人番号は記録しません。
記録内容
- 特定個人情報ファイルの種類、名称
- 責任者、取扱部署
- 利用目的
- 削除・廃棄状況
- アクセス権を有する者
情報漏えい等に対応する体制の整備
情報漏えい等の事案発生や、その兆候を把握した場合に、適切かつ迅速に対応するための体制を整備します。
具体的には以下の対応を行うことを念頭に体制整備を考えます。
- 事実関係の調査及び原因の究明
- 影響を受ける可能性のある本人への報告
- 委員会及び主務大臣等への報告
- 再発防止策の検討及び決定
- 事実関係及び再発防止策等の公表
取扱状況の把握及び安全管理措置の見直し方法
取扱状況の把握及び安全管理措置の見直しとして、具体的には以下のような方法が考えられます。
- 特定個人情報等の取扱状況について、定期的に自ら行う点検又は他部署等による監杳を実施する。
- 外部の主体による監査活動と合わせて、監査を実施する。
まとめ
安全管理措置の内容について、基本方針の策定・取扱規程等の策定・組織的安全管理措置といった側面から見てきました。
それぞれの体制整備において、どのような目的で何が必要なのかをよく見定めて対策を講じていきましょう。