企業に求められている安全管理措置とは!?

事業者は、特定個人情報等の取扱いを検討するにあたって、安全管理措置を定める必要があります。

具体的には、以下の手順で安全管理措置を検討します。

 

①マイナンバーを取り扱う事務の範囲の明確化

②特定個人情報などの範囲を明確化(マイナンバーと関連付けて管理される個人情報の範囲を明確にする)

③事務取扱担当者の明確化

④基本方針の策定

⑤取扱規定等の策定


取扱規定について

  • 取扱規定の策定
    取扱規定は、マイナンバーを管理する各段階ごとに、取扱い方法、責任者、事務取扱担当者及び任務等について定めます。それぞれの事務手続に対して事務のフローに即して手続きを明確化していくことが求められます。
     

  • 取扱規定の運用
    取扱規定に基づいて運用されているかを確認するために、システムログまたは利用実績を記録する必要があります。具体的には

  1. 特定個人情報ファイルの利用・出力状況の記録

  2. 書類・媒体等の持ち出しの記録

  3. 特定個人情報ファイルの削除・廃棄記録

  4. 削除・廃棄を委託した場合、それを証明する記録等

  5. 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況の記録(アクセスログ等)

 

  • 情報漏えいに対応する体制の整備
     

  • 取扱状況の把握と安全管理措置の見直し
    定期的な点検と、安全管理措置の評価、見直し、改善に取り組み

     

  • 人的安全管理措置
    事務取扱担当者の監督、教育
     

  • 物理的安全管理措置
    マイナンバーを取り扱う区域の管理機器および電子媒体の盗難等の防止
     

  • 技術的安全管理措置
    アクセス制限 アクセス者の識別と認証 外部からのアクセスの防止