マイナンバー導入にあたって企業や地方自治体等に求められる対応

マイナンバー導入にあたって企業や地方自治体等に求められる対応

マイナンバーの導入にあたって、企業や地方自治体等で安全管理措置の整備・運用や、特定個人情報保護評価の実施等、様々な対応が求められています。

安全管理措置の整備・運用

個人番号をその内容に含む個人情報を「特定個人情報」と言います。特定個人情報は、特定の個人を比較的容易に識別できる情報であるため、それを取扱うすべての企業や地方自治体等※1において「安全管理措置」を整備・運用することが求められています。 

こうした安全管理措置には、下記示すように大きく分けて6つの種類の措置があり、基本方針や取扱規程の策定から物理的・技術的セキュリティ対策の実施まで幅広い対応が規定されています。

1. 基本方針の策定
   特定個人情報の適正な取り扱いについて基本的な方針を策定、周知します。
2. 取扱規程等の策定
   特定個人情報のより具体的な取扱いを定める規程を策定、周知します。
3. 組織的安全管理措置
   組織体制の整備や、取扱規程に基づく運用、取扱状況を確認する手段の整備、漏えいに対応する体制の整備等を行います。
4. 人的安全管理措置
   事務取扱担当者の監督や教育を行います。
5. 物理的安全管理措置
   特定個人情報を取り扱う区域の管理、機器及び電子媒体の盗難の防止等を行います。
6. 技術的安全管理措置
   アクセス制御、アクセスする者の識別と認証、外部からの不正アクセスの防止、情報漏えいの防止等を行います。

特定個人情報の安全管理措置の導入にあたっては、組織の中でどの部署が個人番号を取り扱うか、誰の個人番号を取り扱うのか等を明らかにしたうえで、取扱担当者や取扱手順等を明確にすることが求められます。

また、個人番号を取り扱うためのエリアを限定して入退室管理を行なったり、情報システムにおいてデータにアクセスできる要員を制限したりする等の対応が求められます。

さらには、外部ネットワークとの境界におけるファイアウォールの設置や通信経路におけるデータの暗号化等も特定個人情報保護委員会のガイドラインには例示されています。

※1 行政機関（行政機関個人情報保護法第2条第1項に規定する行政機関）および独立行政法人等（独立行政法人等個人情報保護法第2条第1項に規定する独立行政法人等）ならびに地方公共団体及び地方独立行政法人

特定個人情報保護評価の実施

さらに地方自治体や一部の企業等※2では、特定個人情報の取扱いに先立って「特定個人情報保護評価」を実施することが求められています。

特定個人情報保護評価とは、個人番号の取扱いの各段階（入手、利用、委託、組織内での共有、保管、消去）におけるリスクに対し、それら低減するための対策がどのように講じられているかを事前に自己評価するもので、プライバシー保護の取組みとして最近注目されているプライバシー影響評価に相当します。

評価の結果は公表することが定められており、ステークホルダーである住民等がそれに対して意見を述べることにより、個人のプライバシー侵害の未然防止や国民・住民の信頼の確保を目的としています。

特定個人情報保護評価の実施者は、当局の定める指針や様式等に則って、原則特定個人情報が関連するすべての事務に関し評価を行なわなければならない他、評価の結果、必要に応じてリスク低減策を追加的に導入・運用することが求められます。 

参考文献

[1] 特定個人情報保護評価指針の解説　平成26 年4 月20 日（平成26 年11 月11 日改正）、特定個人情報保護委員会

[2] 特定個人情報の適正な取扱いに関するガイドライン（事業者編）平成26年12月11日、特定個人情報保護委員会

[3] (別冊) 金融業務における特定個人情報の適正な取扱いに関するガイドライン　平成26年12月11日、特定個人情報保護委員会

[4] 特定個人情報の適正な取扱いに関するガイドライン（行政機関等・地方公共団体等編）平成26年12月18日、特定個人情報保護委員会

※2 行政機関の長、地方公共団体の長その他の機関、独立行政法人、地方独立行政法人、地方公共団体情報システム機構、 情報提供ネットワークを使用した情報連携を行う事業者（健康保険組合等）

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>>　オンラインフォームよりお問い合わせを行う　<<