安全管理措置
マイナンバー(個人番号)を含む特定個人情報の漏えい、滅失又は毀損の防止、その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行う必要があります。
基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。基本方針とは、特定個人情報の適正な取り扱いに関する基本的な考え方であり、安全管理に取り組むこと、法令などを遵守すること、質問および苦情処理の窓口を示すことが必要です。
取扱規程等の策定
特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません。取扱規程等とは、特定個人情報等を取り扱う事務について、情報の取得から廃棄・削除までの一連の流れを整理し、各段階における情報の取扱方法、責任者、事務取扱担当者を明確にすることです。
取扱規程等の策定は文章で策定することに限らず、フロー図のような形で策定することも可能です。
中小規模事業者の場合は、個人番号関係事務を行う者が経理担当者1名ないし2名程度であり、事務フローも単純であることが多いため、取扱規程等の策定は強制されていませんが、事務取扱担当者が変更となった場合は、確実な引き継ぎを行い、責任ある立場の者が確認することが求められますので、事務と特定個人情報等の流れは明確にしておきましょう。
組織的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければなりません。
組織体制の整備
安全管理措置を講ずるための組織体制を整備します。事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましいとされています。
取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録します。特定個人情報等の取り扱いで情報システムを利用しない場合は、チェックリストを記入し保管することで代用できます。
この記録は情報漏えいなどの事案が発生した場合に、適切かつ迅速な対応をするための助けになりますので、忘れずに記入、保管するようにしてください。
取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備します。なお、取扱状況を確認するための記録等には、特定個人情報等は記載してはいけません。
中小規模事業者の場合は、特定個人情報等を取り扱う事務の一覧表を作り、そこから取扱状況がたどれるようにしておけば問題ありません。
情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備します。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要です。
中小規模事業者の場合は、情報漏えい等の事案の発生に備え、従業者から責任ある立場の者に対する報告・連絡の体制などをあらかじめ確認しておきましょう。
取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組みます。
中小規模事業者の場合は、責任ある立場の者が特定個人情報等の取扱状況について定期的に点検し、問題点がないかを確認します。この際、外部の主体による監査を実施することも有用です。
コメント