マイナンバーのセキュリティガイドライン
マイナンバーのセキュリティガイドラインで定められている内容について解説します。
マイナンバーのセキュリティに関するガイドラインとして、独立した第三者機関である個人情報保護委員会は、マイナンバーを取り扱う事業者がマイナンバーを含む特定個人情報等の適正な取扱いを確保するための具体的な指針として、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(以下「ガイドライン」という)」を定めています。
したがって、事業者は、当該ガイドラインに基づいて特定個人情報等を適正に取り扱う必要があります。
事業者は、マイナンバーを取り扱う事務の範囲や特定個人情報等の範囲、事務取扱担当者を明確にし、これを踏まえて基本情報、取扱規程等を策定し、(1)組織的安全管理措置、(2)人的安全管理措置、(3)物理的安全管理措置及び(4)技術的安全管理措置を講ずる必要があります。
マイナンバーのセキュリティガイドラインとは
安全管理措置の具体的な例示は、以下の通りです。
1.組織的安全管理措置
- マイナンバーを取り扱う事務の責任者および取扱担当者を定めて、その責任や役割を明確化します。
- 特定個人情報ファイルなどの取扱状況を確認するための管理簿などを整備して不正防止を図ります。また、会計ソフトなどを導入している場合には、システムログや利用実績などを に出力して、責任者が確認を行います。
- チェックリストや執務記録などを活用し、取扱規程等に基づいて、マイナンバーを取り扱う事務が適正に処理されているか、責任者が確認します。
- 情報漏えいなどの事案が発生した場合、または兆候を把握した場合の、報告連絡体制などを整備しておきます。特に、「重大事案」が発生した場合には「個人情報保護委員会」へ直ちに報告できるように体制を整備しておく必要があります。
- 特定個人情報ファイルなどの管理簿および執務記録などを定期的にチェックし、必要に応じて改善していく必要があります。
2.人的安全管理措置
- 従業員等が特定個人情報等に係る事務を適正に遂行しているか監督する必要があります。
- 研修の実施や資料情報の提供などを通じて、従業員等に対して番号法に関する正しい知識を習得してもらいます。
- 特定個人情報等についての秘密保持に関する事項を、就業規則や誓約書などに追加することも考えられます。
3.物理的安全管理措置
- 特定個人情報等を取り扱う情報システムを管理する「管理区域」と、特定個人情報等を取り扱う事務を実施する「取扱区域」を明確にして、安全管理措置を講じます。
具体的には、管理区域の入退室管理、そして、取扱担当者以外の往来が少なくなるような座席配置の工夫や、覗き見されないように間仕切りを設置するなど、取扱区域の隔離などを実施します。 - 特定個人情報等を含む電子媒体や書類などは、施錠できるキャビネットや書庫などに保管します。
- 特定個人情報等が記録された電子媒体や書類などを、管理区域や取扱区域の外へ持ち出す場合や、取引先などの外部から社内へ持ち帰る場合には、その用務や担当者名などを執務記録などに記載して管理します。そして、電子媒体の持出しなどの場合にはパスワードによる保護やデータの暗号化など、書類の持出しなどの場合には封緘(ふうかん)や目隠しシールを貼るなどの措置を施す必要があります。書類を郵送する場合には、簡易書留など、追跡可能な手段でやりとりすると良いでしょう。
- 保存期間を経過した特定個人情報は、電子媒体の場合には物理的破壊や専用ソフトを利用したデータの完全消去など、書類の場合には焼却・溶解やシュレッダーなど、復元できない手段により適切に廃棄する必要があります。
4.技術的安全管理措置
- 特定個人情報等を取り扱う情報システムをアクセス制御し、ユーザーID、パスワード、ICカードなどに基づいて、正当なアクセス権を有する事務取扱担当者であることを識別した結果に基づき認証します。
- ファイアウォールなどの設置、セキュリティ対策ソフトウェアなどの活用により、情報システムを外部の不正アクセスなどからの保護です。
- 通信経路の暗号化、データの暗号化などにより、情報漏えいなどの防止措置を講じます。
2016.11.17更新