お役立ちコラム

今何をやればよいのか?マイナンバー <9月編>

前回は、「8~9月にやるべきこと」の前半として、「文書面の整備」について説明しました。具体的には、①基本方針の策定、②取扱規程の策定、③利用目的通知書の作成、④各種ツールの作成、⑤研修資料の作成、⑥従業員研修の実施について説明しましたが、皆さまのご対応状況は如何でしょうか?

今回は、「8~9月にやるべきこと」の後半として、「安全管理措置の整備」について説明しますが、その前に1点重要な最新情報についてお伝えします。内閣官房のマイナンバーHPには、8月に入ってから以下「重要なお知らせ」が公表されています。

 

noticeSep

【出所】内閣官房マイナンバーHPより

 

前々回の<7月編>のコラムで、「通知カードは、住民票の住所に簡易書留で郵送されるので、今のうちに住民票の住所と実際に居住している住所を一致させておく必要がある」旨の説明をしましたが、上記のように「DV・ストーカー行為・児童虐待等の被害者」などの方を対象に、救済措置が取られることになりました。詳細手続については、総務所のHPに公表されていますが、該当される方は、9月25日期限で「居所情報登録申請」を行う必要がありますので、皆さまの企業でも従業員に対して至急周知しておく必要があります。

また、「マイナンバー制度に便乗した不正な勧誘および個人情報の取得」にも注意が必要です。例えば、従業員の方から、親・親戚も含めてご家族の方に注意喚起するなど、企業として政府に協力して周知することも重要です。

このように、重要なお知らせがいきなり政府のHPに公表されますので、定期的に政府のHPを確認するなど、マイナンバーに関する最新情報を収集するように心掛けましょう。

 

それでは、「8~9月にやるべきこと」の後半として、「安全管理措置の整備」について説明します。

 

1.安全管理措置の全体像

企業が講じるべき「安全管理措置」の全体像は、以下の通りです。

安全管理措置

【出所】平成27年2月特定個人情報保護委員会「マイナンバー民間事業者の対応」より

 

 

このうち、「基本方針」と「取扱規程」の策定については前回説明しましたので、今回は4つの「組織的・人的・物理的・技術的安全管理措置」について、中小企業の目線でポイントを説明します。

なお、従業員からマイナンバーを取得するまでに、安全管理措置をしっかり講じておく必要があります。さらに、安全管理措置を整備するだけではなく、マイナンバーを取得した時から、安全管理措置を実際に運用しなくてはなりません。マイナンバーを保管している限り、半永久的に安全管理措置を運用し続けなくてはならないことを、理解しましょう。

中小企業が講じるべき必要最低限の「安全管理措置」は、以下の通り16のポイントにまとめることが出来ます。

16point

2.組織的安全管理措置

組織的安全管理措置のポイントは、以下の通りです。

「特定個人情報の適正な取扱いに関するガイドライン」では、b「取扱規程に基づく運用」、とc「取扱状況を確認する手段の整備」を求めていますので、特に留意が必要です。

 事業者におけるポイント

 

 

マイナンバーの保管・管理方法として、①「データ」ベースによるIT対応と、②「紙」ベースによるマニュアル対応が考えられます。例えば、従業員数が50名以下の小規模な企業の場合は、敢えてIT対応を行う必要はなく、紙ベースで従業員毎に管理台帳を作成し、ファイルを金庫に入れて施錠管理することで十分です。

c「取扱状況を確認する手段」として、①IT対応の場合には「システムログ」の取得・保管、②マニュアル対応の場合には「管理台帳」による管理が考えられます。このように、安全管理措置を検討する前に、自社の規模や実情を踏まえて、どのようにマイナンバーを保管・管理するかを検討しておきましょう。

 

3.人的安全管理措置

人的安全管理措置のポイントは、以下の通りです。

事務取扱担当者に対する「監督・教育」を実効性あるものにするために、「秘密保持の誓約書」を担当者から受け入れることも検討しましょう。

 

事業者におけるポイントD

4.物理的安全管理措置

物理的安全管理措置のポイントは、以下の通りです。

事業者におけるポイントE

 

 

a「区域管理」に関しては、担当者の「取扱区域」をどのように管理したらよいのか、サーバやPCなどの「管理区域」をどのように管理したらよいのか、よく質問を受けます。

担当者の「取扱区域」については、パーテーションなどで席を区切ったり、通路から離れた角の席に移動するなどの対応が考えられます。サーバやPCなどの「管理区域」は、そもそも紙ベースのマニュアル対応であれば必要がなくなりますが、必要な場合でも費用対効果の観点から、身の丈に合った必要最低限の対応を心掛けることがポイントとなります。可能な範囲で、PCなどの「管理区域」を制限した上で、以下の技術的安全管理措置をしっかり講じることも考えられます。

 

5.技術的安全管理措置

技術的安全管理措置のポイントは、以下の通りです。

 

事業者におけるポイントF

 

 

IT対応を行う場合には、最低限、a・b「ユーザIDによるアクセス制御」、c「ウィルス対策ソフトの導入」、d「ファイルへのパスワード付与」の3点を遵守しましょう。

 

次回は、「10月にやるべきこと」として、従業員からの番号取得時に中小企業としてやるべきことを、説明したいと思います。

・本コラムに記載された内容は各専門家の意見であり、東京商工会議所の意見を代表するものではありません。
・本コラムに掲載された内容は、執筆者より投稿された内容をそのまま掲載しており、個人の主観的な評価、時間の経過による変化、伝聞が含まれることから、東京商工会議所はその内容の完全性、正確性、安全性等いかなる保証も行いません。