こんにちは、福岡の社労士、松本です。
前回の記事では従業員へのアナウンスについて書きました。今回は会社が実施する体制の整備の内、物理的な対策について書きます。
国が求める基準が絶対ではない
特定個人情報保護委員会より「特定個人情報の適正な取扱いにかんするガイドライン(事業主編)」が出ていますが、内容を読んでいると、中小企業には難しい内容が多いです。基本的にはこれに沿って準備を進める事になりますが、かけられる費用も考慮し、独自の情報が漏えいしない仕組みをつくる必要があります。ガイドラインが絶対ということではありません。
物理的安全対策で対応する項目
マイナンバーを取扱う上で安全措置をとる項目と概要を説明していきます。
1・マイナンバーを取扱う区域の管理
マイナンバーを取扱う場所を決めます。特別の部屋の準備、ICカード、ナンバーキー等を用意することが求められていますが、通常そこまで予算や場所を取ることは難しい会社も少なくありません。自社にあった隔離方法を検討する必要があります。
2・機器および電子媒体等の盗難等の防止
マイナンバーを扱うパソコン、USB、書類等の保管についてです。パソコンは据え置きのものが多いと思います。その場合固定する等の方法があります。間違っても持ち出し可能なノートパソコンにデータを置くようなことはやめましょう。USBや書類については金庫や鍵付きのキャビネットを使います。このとき開錠できる権限や、持ち出しルールを徹底しておきます。
3・電子媒体等を持ち出す場合の漏えい等の防止
この場合の持出しには会社内の移動を含みますので、管理されている場所から動かす場合の紛失、盗難の対策を考慮する必要があります。追跡可能な移送手段までが求められていますが中々に難しい面があります。保管の際、氏名とマイナンバーを一緒に記載しないなどの工夫で情報漏えいを防ぐなどが考えられます。
4・個人番号削除、機器および電子媒体等の廃棄
マイナンバーを使うことがなくなった機器、データの廃棄を確実に行う仕組みをつくる必要があります。シュレッダーや、業者に依頼する等があります。廃棄の記録を確実に取ります。委託先が削除・廃棄する場合は証明書をもらいます。(従業員が100人以下の中小規模事業者についてはマイナンバー等を削除・廃棄したことを、責任ある立場の者が確認することで代わりとなります。)
物理的な安全対策だけでは万全ではない
上記の物理的な安全対策は必要なものですが、パソコンで管理する場合、システム上の安全対策を必要とします。また実際の運用をするのは人ですので教育も重要な要素になります。そしてそれを実行する為の規程作成等々・・
全てを完全にということは難しいと思います。ただ出来るだけその状態に近づける努力は必要です。これからこのマイナンバーは更に重要な情報になってくることが予想されています。情報管理ができない会社は生き残れないという時代はすでに来ているのかもしれません。