これだけ読めば大丈夫。【情シス必見】5分でわかるマイナンバー　第２回　–安全管理措置とは-

安全管理措置とは？

マイナンバー制度の資料をみると必ずと言ってよいほど「安全管理措置」という言葉が出てきます。

この法律では、個人番号（以下、マイナンバー）を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限し、さらにマイナンバーの管理についても、一定の制限の下での管理を求めています。

この管理方法を定めてあるのが「安全管理措置」とされるもので、企業が個人番号や特定個人情報を漏洩したり、紛失または毀損を防止するために設定された措置をいいます。これは企業も、マイナンバー管理等を委託された事業者も同様の管理体制を必要としています。

この安全管理措置は、４つの分野に分類されています。

1. 組織的安全管理措置

・組織体制の整備

・取扱規程等に基づく運用

・取扱状況を確認する手段の整備

・情報漏洩事案に対応する体制の整備

・取扱状況把握及び安全管理措置の見直し

2. 人的安全管理措置

・事務取扱担当者の監督

・事務取扱担当者の教育

3. 物理的安全管理措置

・特定個人情報等を取り扱う区域の管理

・機器及び電子媒体等の盗難等の防止

・電子媒体等を持ち出す場合の漏洩等の防止

・個人番号の削除、機器及び電子媒体等の廃棄

4. 技術的安全管理措置

・アクセス制御

・アクセス者の識別と認証

・外部からの不正アクセス等の防止

・情報漏洩等の防止

要は、組織・人に対する措置と、場所・インフラに対する措置を求めているものとなります。

この安全管理措置を実施するためには、以下の５つの手順に沿って検討をするようにとされています。

1. 個人番号を取り扱う事務の範囲を明確にする

マイナンバーを利用する事務の範囲を明確にします。

2. 特定個人情報等の範囲を明確にする

マイナンバーを利用する事務の範囲で明確にした事務で、実際に取り扱う特定個人情報等の範囲を明確にします。

3. 事務取扱担当者を明確にする

マイナンバーを利用する事務に従事する取扱担当者、責任者を明確にします。

4. 基本方針を策定する

特定個人情報等の適正な取扱いに組織として取り組むために、基本方針を策定します。

5. 取扱規程等を策定する

上記1～3で明確にした事務での特定個人情報等の適正な取扱いを定めた取扱規程等を準備します。

これらを検討するにあたっては、必ず、マイナンバーの取得～利用～提供～廃棄のルールを抑えながら準備を進めます。

情シス的には、物理的安全管理措置の一部と技術的安全管理措置が大きく関わってくる事となります。

次回は「技術的安全管理措置の具体的対応」についてお伝えします。