第26回 マイナンバー その2

  • Clip to Evernote
  • Check

今回はマイナンバーの安全管理措置についてお話ししたいと思います。

〇安全管理措置とは
マイナンバー法では、個人番号を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を
収集・保管・提供できる範囲等を制限しています。
事業者は個人番号および特定個人情報の漏えい、滅失・毀損の防止等のために安全措置を講じることが義務づけられています。
安全措置の内容は次の通りです。

○組織的安全管理措置
    → 担当者を明確にし、担当者以外が特定個人情報を取扱うことがない仕組みを構築すること
  ・事務取扱責任者と取扱担当者を明確にする
      ○○部門ではなく個人名で責任者と担当者を明記し、役割を明確化する
      また、責任者と担当者は分ける(例えば担当者が1名の場合は責任者を社長にするなど)
  ・情報システムのアクセスログ、取得・登録、利用実績、廃棄、削除などを記録する
  ・情報が漏洩したときの体制を整備する

○人的安全管理措置
    → 従事者による不正な漏洩や内部者の盗聴などを防止し、特定個人情報が適切に取り扱われるようにすること
  ・取扱担当者の監督と教育
      特定個人情報等の取扱いについて定期的に研修を行う

○物理的安全管理措置
    → 担当者以外が特定個人情報を取扱えないよう物理的に管理すること
  ・PCの画面が見られないような席順とする、または間仕切りなどを設置する
  ・盗難や紛失の防止策として、PCはセキュリティワイヤーなどで固定したり、施錠できるキャビネット・
      書庫に保管する
  ・電子媒体などで持ち出す場合には、パスワードによる保護やデータを暗号化するなどの安全策を講じる
  ・マイナンバーの削除、電子機器や電子媒体を廃棄するときは復元できない手段で行う

○技術的安全管理措置
    → 担当者を限定するための制御やウイルス対策ソフトウェア等の導入などシステム的な対応を行うこと
  ・情報システムへのアクセス制御を行う
      ユーザーIDとパスワードを付与する、アクセス権限を設定する
      マイナンバーに関してはシステム管理者に知られてはいけない
  ・不正アクセス、不正ソフトウェアから保護する
      外部ネットワークとの接続箇所にファイアウォール等を設置する
      セキュリティ対策ソフトを導入する
      ソフトウェアは常に最新の状態にする
      ログ等の分析を定期的に実施する

注)安全管理措置は「紙」で管理する場合も同様の対応が必要です。

なお、安全管理措置は中小規模事業者への特例(軽減)設けられています。
特例の対処となる事業者は、
  ・従業員数が100人以下
  ・健康保険組合、税理士、社会保険労務士、生命保年代理業、金融ファンド、個人情報を取扱業者などは対象外
で、特例の内容は
  ・組織的安全管理処置 ... 事務取扱担当者が複数いる場合は責任者と担当者を区別することが望ましい
  ・人的安全管理措置  ... 特例はない
  ・物理的安全管理措置 ... 電子媒体や書類を持ち出す場合、パスワードの設定や封筒に封入し鍵付の鞄で
                                            搬送するなどの安全策を講じる
                                            マイナンバーの削除・廃棄を責任ある立場の者が確認する
  ・技術的安全管理措置 ... 取扱う機器と担当者を限定することが望ましい
                                            危機に標準層にされているユーザアカウント制御により、情報システムの取扱い
                                            担当者を限定することが望ましい
とされています。
特例であっても、免除される項目はありません。マイナンバー法に違反(情報漏洩など)した場合には重い罰則が科せられます。
マイナンバーの取扱いについては安全管理措置に基づき、適切に管理、取扱わなければなりません。

参考:個人番号を利用する者に関する罰則
  ・正当な理由なく、特定個人情報ファイルを提供(個人番号利用事務等に従事する者等)
      → 4年以下の懲役若しくは200万円以下の罰金または併科
  ・不正な利益を図る目的で、個人番号を提供または盗用(個人番号利用事務等に従事する者等)
      → 3年以下の懲役若しくは150万円以下の罰金または併科
  ・情報提供ネットワークシステムに関する秘密の漏えいまたは盗用
    (情報提供ネットワークシステムの事務に従事する者)
      → 3年以下の懲役若しくは150面円以下の罰金または併科
  ・特定個人情報が記録されている文書等を収集(国の機関等の職員)
      → 2年以下の懲役または100万円以下の罰金
  ※いずれにも執行猶予はつかない。