安全管理措置の重要性
個人番号には、様々な個人情報が紐付けされています。
漏えい等が生じた場合、芋づる式に個人情報が流出して個人への被害が甚大になる恐れがあるのです。
そのため、個人番号の管理には特に慎重を期することが要されており、被害を避けるための安全管理措置が重要とされているのです。
安全管理措置の検討の手順
個人番号を取り扱う事業所は、番号法12、32により、個人番号の漏えい、減失、毀損の防止、その他の安全管理のための必要かつ適切な措置(安全管理措置)を講じなければなりません。
安今管理措置の考え方については、ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」(以下「ガイドライン別添資料」)に具体的に記載されています。
実務上重要な資料になるものと言えるでしょう。
示されている検討の手順
- 個人番号を取り扱う事務の範囲の明確化
- 特定個人情報等の範囲の明確化
- 事務取扱担当者の明確化
- 安全管理措置に関する墓本方針の策定
- 取扱規程等の策定
安全管理措置の概要
安全管理措置の具体的な内容として、以下の内容を講じる必要があります。
- 安全管理措置に関する基本方針の策定
- 取扱規程等の策定
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
事業者の規模による違い
大規模事業者と比べて、中小規模事業者については事務で取り扱う個人番号の数量が少なく、これを取り扱う従業者も限定的であることなどから、ガイドライン別添資料で特例的な対応方法が示されています。
中小規模事業者であっても、これに該当しない事業者が講ずべき措置を採用することはより望ましいこととされています。
「個人番号を取り扱う事務の範囲の明確化」とは
個人情報保護法15①、番号法32によって、事業者は番号法で定められた事務の範囲内で、個人番号の利用目的を特定する必要があると定められています。
この特定された利用目的の範囲内で個人番号を利用することが認められるので、個人情報を取り扱う事務の範囲を特定し、明確化する必要があります。
利用目的の特定の仕方としては、「源泉徴収票作成事務」、「健康保険・厚生年金保険
届出事務」に利用する といった定め方が考えられます。
「個人情報等の範囲の明確化」とは
事業者は、明確化された事務の範囲内で、どの情報を使用するのか、特定個人情報等の範囲を明確にしておかなくてはなりません。
事務において使用される個人番号及び個人番号と関連付けて管理される個人情報(氏名、生年月日等)の範囲を明確にすることを「個人情報等の範囲の明確化」といいます。
「事務取扱担当者の明確化」とは
事業者は、個人番号を取り扱う事務に従事する事務取扱担当者を明確にしておかなくてはなりません。
個人名で明確化する必要はなく、部署名(○○課○○係等)、事務名(○○事務担当者)等により担当者が明確になればよいと考えられます。
しかし、部署名等によって事務取扱担当者の範囲が明確化できない場合は、事務取扱担当者を指名するなどして明確化する必要があります。
まとめ
ここでは、個人番号を取り扱う上での安全管理措置に関わる基本的な内容を見てきました。
安全管理措置が必要な理由や概要を把握して、次の項で具体的な安全管理措置の内容についてみていきましょう。