◆安全管理措置の内容
マイナンバーを取扱う事業者は、必要かつ適切な安全管理措置を講じなければなりません(番号法12条、33条、34条、個人情報法護法20条、21条)。
安全管理措置の検討手順については、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「(別添)特定個人情報に関する安全管理措置(事業者編)」(安全管理措置ガイドライン)において、次のように示されています。
① マイナンバーを取り扱う事務の範囲の明確化
② ①の事務で取り扱う特定個人情報の範囲の明確化
③ ①の事務を取扱う担当者の選任
④ 基本方針の策定
⑤ 取扱規程等の策定
特に⑤の取扱規程等の策定については、マイナンバーの取得、利用、保存、提供、削除・廃棄における業務フローと、各段階における組織的・人的・物理的・技術的安全管理措置を講じることが求められています。
◆自社に見合った安全管理措置と運用を
安全管理措置は、マイナンバーや特定個人情報の安全かつ適正な取扱いを目的とするものです。
この目的を踏まえず、形だけの取扱規程などを定めただけでは事務負担が増すだけであり、かえって不適切な取扱いを招きかねません。
具体的な安全管理措置は、事業の内容や規模などにより異なり、例えば、安全管理措置ガイドラインも、中小規模事業者については比較的簡易な方法によることを認めています。基本方針や取扱規程等の策定にあたっては、ネットや書籍などで公開されているひな型をそのまま流用するのではなく、番号法やマイナンバー制度の趣旨を踏まえつつ、自社の事業内容や規模に見合ったものとなるよう留意してください。
また、内部統制や営業秘密管理などにもいえることですが、体制を整えても、実際の運用がともなわなければ意味がありません。PDCA(計画・実行・評価・改善)を繰り返し、適切な取扱いを行えるよう心がけましょう。
本ブログ及びこれに関連する法律相談等については、下記URLからお問い合わせください。
http://kondo-law.com/contact/