漏えい防止へ体制整備を

最終回は安全管理措置について解説いたします。 特定個人情報の取り扱いについて、特定個人情報保護委員会が示したガイドラインがあります。これによる事業者が講ずべき安全管理措置の内容として、次の7つが示されています。

１.基本方針の策定

策定は義務ではありませんが、考え方の根幹をなす部分ですので策定いただくと良いでしょう。

２.取扱規程など

従業員数100人超の規模の事業所は策定しなければなりません。マイナンバーの①取得、②利用、③保存、④提供、⑤削除・廃棄の5段階について、取扱方法、責任者、事務取扱担当者(以下担当者)の任務などについて規定します。

３.組織的安全管理措置

責任者や担当者の役割、特定個人情報などの範囲、情報漏えいなどの報告連絡体制などの組織体制を整備します。その上で、取扱規程などに基づく運用と、その状況確認の手段を整備し、万が一の情報漏えいなどの事案に対応する体制の整備をします。また、定期的な見直しを行います。

４.人的安全管理措置

担当者の監督と教育を行います。そのため就業規則などに研修や特定個人情報などの秘密保持に関する事項を盛り込みます。

５.物理的安全管理措置

事業所内の特定個人情報ファイル(以下ファイル)のシステムを管理する「管理区域」と、特定個人情報の事務を実施する区域「取扱区域」を明確にします。その上で、「管理区域」への入退室管理、機器などの持ち込制限や、「取扱区域」に間仕切りなどを設置し、担当者以外の者が容易に特定個人情報に接することがない座席配置などをして区域を管理します。

また、取り扱うパソコン、USBメモリーや書類などは、施錠できるキャビネットに保管するなどして盗難や紛失などを防止します。電子媒体などを持ち出す場合は、データの暗号化、パスワードの設定、施錠可能なケースやかばんに入れるなどの対策をします。

そして、個人番号関係事務を行う必要がなくなった場合で、法令の保存期間などを経過した場合には、マイナンバーをできるだけ速やかに焼却・溶解・シュレッダーなどで復元できないように削除あるいは廃棄し、その記録を保存します。また、委託する場合は証明書などにより削除あるいは廃棄を確認します。

６.技術的安全管理措置

情報システムを使用する場合、アクセス権を担当者に限定します。また、アクセスできるファイルの範囲をアクセス制御します。その際、担当者のアクセス権の有無については、ユーザーID、パスワードなどを使い、アクセス者の識別と認証を行います。そして、ファイアウオールなどの設置や定期的なログ管理や分析を行い必要な対策をします。

さらに、インターネットなどの使用は通信経路を暗号化することや、情報システム内の特定個人情報などのデータの暗号化や、パスワード設定をするなどして情報漏えいなどの防止をします。

委託先への監督も必要

７.委託先における安全管理措置

「委託元」が、「委託先」に対して「必要かつ適切な監督」を行わなかった結果、漏えいなどが発生した場合、番号法違反と判断される可能性があります。

「必要かつ適切な監督」とは、①委託先の適切な選定(自らが果たすべき安全管理措置と同等の措置が講じられるか否かあらかじめ確認するなど)、②委託先に安全管理措置を遵守させるために必要な契約の締結(秘密保持義務、目的外利用の禁止、再委託の条件、従業者への監督・教育など)、③委託先における特定個人情報の取扱状況の把握、が含まれます。

以上のように、規定類や契約書などを作成しなければなりません。特に「就業規則」については、利用目的の明示、本人確認のための書類などの提出時期や義務、担当者の教育や監督、研修受講の義務、秘密保持、情報漏えいなどの防止や懲戒などを規定する必要があるでしょう。

なお、就業規則の変更は常時10人以上の労働者を使用している事業所は、労働者の意見書を添えて、労働基準監督署長に届け出なければなりませんので、ご注意の上、早目の対応が必要です。

(特定社会保険労務士・小林元子)