「特定個人情報保護委員会」という団体をご存じでしょうか。
平成26年1月に設置されたこの委員会は、マイナンバーの取扱に関して適切な措置を講ずる第三者機関です。今回は、委員会が作成した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より、事業者が実施するべき安全管理措置の観点について紹介します。
マイナンバーを含む個人情報は、法律によって「特定個人情報」と定められており、一般的な個人情報(例:住所や名前だけ)よりも厳しい保護措置を求められています。
安全管理措置を行うのはすべての企業の義務とされており、企業ごとに「基本方針」「取扱規定」の策定が必要となります。
ガイドラインは、これらの方針やルールを設定する際に4つの観点をカバーするべきとしており、「組織的安全措置」「物理的安全措置」「人的安全措置」「技術的安全措置」がそれにあたります。
これだけ見ると、漢字ばかりで難しそうなのですが、平たくいえば、以下の4点です。
・マイナンバー収集や管理を行う組織・体制を整備して、適切なルールと運用方法を確立することで安全を守りましょう
・オフィスではマイナンバーの管理区域を設定。区域に持ち込む機器の制限や情報を持ち出す際の方法など、場所やモノに関するルールを徹底してリスクを低減させましょう
・マイナンバー法(※1)、企業の基本方針・取扱規定、業務フローに精通した情報取扱担当者を任命し、適切なマネジメントによって育成しましょう
・マイナンバーを管理するシステムにおいては、アクセス制御や不正アクセス防止、暗号化などの策を講じて情報漏えいを防ぎましょう
(※1:行政手続における特定の個人を識別するための番号の利用等に関する法律)
いかがでしょうか。ガイドラインは「マイナンバーの安全を守るためには、ヒト・モノ・体制・仕組みのすべてに安全措置が講じられていないといけない」としています。
種明かしをすると、第1回~第3回で紹介させていただいたマイナンバー対応の準備作業や業務フローは、すべてこの4つの安全措置の観点から導き出されているのです。
それぞれの業務がどの観点に紐づいているのかを意識しながら読み返してみると、「なぜこの準備が必要なのか」「業務フローはなぜこうなっているのか」がより理解できるのではないでしょうか。
株式会社ソルクシーズの【マイコレキーパー】は、それぞれの企業の「技術的安全措置」を支援するサービスです。
システムとしての使いやすさも大事ですが、開発の際に最もこだわったのは、「マイナンバー法(※1)が定める規定やガイドラインに則った安全措置を実現できるサービスであること」。
システムで担保できる安全を最大限実装することによって、「情報取扱担当者が、人間が関わるべき安全措置に注力できるように」という願いが込められているのです。
「マイコレキーパー」の詳細についてはこちらをご確認ください。
最終回では、「マイコレキーパー」のような専用サービスに求められる機能やセキュリティについて紹介します。
