GTM-MML4VXJ
Skip to main content

富士通マーケティング

English

Japan

  1. ホーム >
  2. ICTのmikata >
  3. コラム >
  4. 第05回 特定個人情報に関する安全管理措置

第05回 特定個人情報に関する安全管理措置

マイナンバー制度における民間企業の対応に向けた検討ポイントと取組み

都市情報システム研究所長、総務省「電子政府推進員」
茶谷 達雄氏

2015年06月23日更新

基準が示されているガイドライン

個人番号カードや通知カードによる本人確認

このコラムの最後に、特定個人情報に関する安全管理措置について、触れて行きたいと思います。
マイナンバー制度の円滑な運営のためには、個人番号や特定個人情報の情報漏えいによる、プライバシーの侵害がないようにしていく必要があります。
情報漏えいの原因では、一般的に管理ミス、誤操作、紛失・置き忘れが8割を占めています。これらは、組織体制の不備、管理不足など、内部の要因が原因だとみられています。(注1)このことから情報漏えい等をなくすためには、組織全体としての取組みが求められるところです。
政府の特定個人情報保護委員会では、このようなことから『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』を策定し、安全管理措置について事業者として取り組んで欲しい内容を示しています。
一般に、予想されるリスクに対して、どこまで対策をとったらよいか、分かりにくいところがありますが、このガイドラインで一応の基準が示されたことで、事業者の取り組みの目安ができたと思います。

期待される中小規模事業者における安全管理措置

ガイドラインで示さている安全管理措置で注目されるのは、従業員数が100人以下の事業者である中小規模事業者(注2)と、それ以上の事業者とに、措置内容を分けていることです。
それは中小規模事業者については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を扱う従事者が限定的であること等から、負担の少ない対応方法が考慮されているからです。安全管理措置について、事業者の負担を過度にかけ、実施されないようでは、本末転倒です。
わが国の事業者では、この中小規模事業者が大半を占めています。事業者数では、わが国の総企業数約413万(注3)のうち、中小規模事業者とされる100人以下の事業者は9割を超え、従業者数では全従業者の約4分の3になると推定されます。(注4)
したがって、わが国のマイナンバー制度の安全管理措置の成否は、中小規模事業者の安全管理措置対策が十分に行われるかどうかに、かかっていると言えるでしょう。

安全管理措置で明確化すべき基本的事項

まず中小規模事業者の安全管理措置の説明の前に、一般的に求められるガイドライでの安全管理措置について見ておきたいと思います。
マイナンバー法では、事務の特性から次のような各種の制限をしています。

  • マイナンバーの利用できる事務の範囲
  • 特定個人情報ファイルを作成できる範囲
  • 特定個人情報を収集・保管・提供できる範囲等

このようなことから安全管理措置については、次の事項の明確化を図ることを求めています。

  • 個人番号を取り扱う事務の範囲の明確化
  • 取り扱う特定個人情報等の範囲の明確化
  • 個人番号や特定個人情報を取り扱う事務担当者の明確化

これらを前提にして、講ずべき安全管理措置の内容として、具体的手法としてA~Fの例を示しています。

A.  基本方針の策定
  特定個人情報等の適正な取扱いの確保について、組織として取り組むための、基本方針を策定することです。具体例としては次があります。

  • 事業者の名称
  • 関係法令・ガイドライン等の遵守
  • 安全管理措置に関する事項
  • 質問及び情報処理の窓口

B.  取扱規程等の策定
  次の管理段階ごとに取扱方法、責任者・事務取扱担当者及びその任務等を策定することです。特にここでは、最後の廃棄の過程が注目されるところです。

  • 取得、利用、保存、提供、削除・廃棄の各過程

C.  組織的安全管理措置
  事業者が特定個人情報等の適正な取扱いのために、組織的取り組みに必要な次のような事項を策定します。

  • 組織体制の整備
  • 取扱規程等に基づく運用
  • 取扱状況を確認する手段の整備
  • 情報漏えい等事案に対応する体制の整備
  • 取扱状況の把握及び安全管理措置の見直し

D.  人的安全管理措置
  事業者は、特定個人情報等の適正な取扱いのために、次のような人事上の対応を求めています。

  • 事務取扱担当者の監督
  • 事務取扱担当者の教育

E.  物理的安全管理措置
  事業者は、特定個人情報等の適正な取扱いのために、機器や電子媒体等物理的なものへの安全管理措置が求められています。

  • 特定個人情報等を取り扱う区画の管理
  • 機器及び電子媒体等の盗難等の防止
  • 電子媒体等を持ち出す場合の漏えい等の防止
  • 個人番号の削除、機器及び電子媒体等の廃棄

F.  技術的安全管理措置
  事業者は、特定個人情報等の適正な取扱いのため、アクセス制御や情報漏えい対策等、次のような技術的な安全管理措置を講ずることが期待されています。

  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報漏えい等の防止

中小規模事業者に求められる安全管理措置

以上で見てきましたように、一般的事業者に求めている安全管理措置の対応方法は、多様な施策が求められています。先に触れましたように、中小規模事業者としては、対応がやや困難な側面もあることから、一般的な安全管理措置のなかから、次の事項を抽出し対応することを求めています。

B.  取扱規程等の策定

  • 特定個人情報等の取扱い等を明確化する。
  • 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。

なお、手続き明確化の一般の事例として、次のものが挙げられています。 源泉徴収票等を作成する事務の事例

  1. 従業員等から提出された書類等を取りまとめる方法
  2. 取りまとめた書類等の源泉徴収票等の作成部署への移動方法
  3. 情報システムへの個人番号を含むデータ入力方法
  4. 源泉徴収票等の作成方法
  5. 源泉徴収票等の行政機関等への提出方法
  6. 源泉徴収票等の本人への交付方法
  7. 源泉徴収票等の控え、従業員等から提出された書類及び情報システムで取り扱うファイル等の保存方法
  8. 法定保存期間を経過した源泉徴収票等の控え等の廃棄・削除方法 等

C.  組織的安全管理措置

a.  組織体制の整備

  • 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい。

b.  取扱規程等に基づく運用

  • 特定個人情報等の取扱状況の分かる記録を保存する。

c.  取扱状況を確認する手段の整備

  • 特定個人情報等の取扱状況の分かる記録を保存する。

d.  情報漏えい等事案に対応する体制の整備

  • 情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。

e.  取扱状況の把握及び安全管理措置の見直し

  • 責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。

E.  物理的安全管理措置

一般的事業者に求められているa、bの項を除き

c.  電子媒体等を持ち出す場合の漏えい等の防止

  • 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。

d.  個人番号の削除、機器及び電子媒体等の廃棄

  • 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。

F.  技術的安全管理措置

a.  アクセス制御

  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務担当者を限定することが望ましい。
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

b.  アクセス者の識別と認証

  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務担当者を限定することが望ましい。
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

以上ガイドラインが示す事業者における特定個人情報保護に関する安全管理措置を見てきましたが、大切なことは、経営者をはじめ全従業者の方々が、マイナンバー制度に関心をもっていただき、適正な運営に心がけていただくことが基本になるものと思われます。
コラムを最後までお読みいただき、厚く御礼申し上げます。

注1:JISA2011情報セキュリティインシデントに関する調査報告書
注2:ガイドラインにおける中小規模事業者とは、従業員の数が100人以下の事業者で、おおよそ次の事項以外の事業者としている。
   ・個人番号利用事務実施者(主に行政機関等)
   ・委託で処理する事業者
   ・金融分野の事業者
   ・個人情報を5000人以上取り扱う事業者
注3:平成24年経済センサス
注4:平成18年事業所・企業統計調査結果

著者プロフィール

茶谷 達雄(ちゃや たつお) 氏

都市情報システム研究所長 

茶谷 達雄(ちゃや たつお) 氏

総務省「電子政府推進員」

1949年より東京都職員として勤務。水道局電子計算課長、総務局電子計算課長等を経て、1985年総務局情報システム参事を最後に退職、同年都市情報システム研究所を設立。その後、東京経営短期大学経営情報学科教授、福島大学行政社会学部非常勤講師、日本社会情報学会副会長、東京都町田市情報公開・個人情報保護審議会会長、東京都荒川区情報セキュリティ監査人、等を歴任。
 現在、都市情報システム研究所長、情報システムコンサルタント(日本情報システムユーザー協会認定)、総務省「電子政府推進員」、東京都港区個人情報保護運営審議会会長、東京都杉並区情報公開・個人情報保護審議会 等。

関連情報

お問い合わせ

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-835-554 お客様総合センター

受付時間 9時から17時30分まで
(土日、祝日及び当社指定の休業日を除く)
[注] お問い合わせ内容の正確な把握、およびお客様サービス向上のため、お客様との会話を記録・録音させて頂く場合がありますので、予めご了承ください。