第17回「中小規模事業者に求められるマイナンバー対策(物理的安全管理措置のルール)」

第17回は、事業者に求められる物理的安全課管理措置の社内体制構築についてご案内します。
物理的安全管理措置には、中小規模事業者の特例措置が一部認められています。
具体的には、次の4点について対応が必要ですが、下記の項番3と4について中小規模事業者の特例措置が認められています。

1.特定個人情報等を取扱う区域の管理
・特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取扱う情報システムを管理する区域(以下「管理区域」という、具体的には特定個人情報ファイル等が格納されているサーバールームや書庫やキビネット等)及び特定個人情報等を取扱う事務を実施する区域(「取扱区域」という、具体的にはマイナンバーの事務を行う執務室の一部等)を明確にし、物理的な安全管理措置を講ずる必要があります。
★実務的には、管理区域に関しては、関係者以外の立ち入りを禁止し、ICカード等による入退出の管理を行うと同時に、電子機器(スマホ等)を制限時、特定個人情報が不正に持ち出されることが無いようにしなければなりません。
また、取扱区域に関しては、事務取扱担当者以外の社員にのぞき見されないような机の配置やパーテションの活用等を検討しましょう。

2.機器及び電子媒体等の盗難防止
・管理区域及び取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために物理的な安全管理措置を講ずる必要があります。
★実務的には、ワイヤーロープでパソコン等を固定したり、鍵のかかるキャビネット等に特定個人情報を保管しましょう。

3.電子媒体等を持ち出す場合の漏えい等の防止
・特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、電子ファイルには、パスワードの設定しましょう。また、文書の場合には、封筒に封入して鞄に入れて搬送する等、紛失・盗難等を防ぐための方策を講ずる必要があります。なお、持ち出しとは、特定個人情報等を管理区域又は取扱区域の外に移動させることをいい、事務所内の移動であっても紛失・盗難に注意する必要があります。

4.個人番号の削除、機器及び電子媒体等の廃棄
・特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する必要があります。
★実務的には、復元不可能なマスキング(マジック等で黒塗り)若しくはシュレッダーして廃棄することを責任者が確認する必要があります。また、電子データを削除する場合には、専用のソフトウェアの利用又は物理的な破壊等、復元が不可能な手段を採用する必要があります。

中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。まずは、ご相談下さい。