ガイドラインを参照する
これらの項目に着手する上で、各企業の情報管理やセキュリティの体制にもよりますが、特定個人情報保護委員会から2014年12月に出された、「特定個人情報の適正な取り扱いに関するガイドライン」にある「講ずべき安全管理措置」を検討、実施する必要があります。
1~2について、構成員の個人マイナンバーを取り扱うのは、人事総務系の部門になると思います。組織によって、この部門が通常業務で顧客情報や知財などといった、いわゆる「営業秘密」を管理しているのか、いないのかは分かれるところだと思います。
特にこうした営業秘密の取り扱いに慣れていない場合は、「ガイドライン」にある「講ずべき安全管理措置」を参照することをお勧めします。
これまで営業秘密を取り扱っていた経験値のある部門であったとしても、いい機会ですので上記は見直すべきでしょう。
本件について簡単にまとめますと、まず安全管理措置の検討手順としては
- 個人マイナンバーを取り扱う事務の範囲の明確化
- 取り扱う特定個人情報等の範囲の明確化
- 事務取扱担当者の明確化
- 基本方針の策定
- 取扱規定などの策定
という手順で実施する必要があると記載されています。まずは、この手順に従って検討を進めていただくことをお勧めします。
また、実際に講ずべき安全管理措置の内容については、同ガイドラインに「組織的、人的、物理的、技術的安全管理措置」の4つが記載されています。
たとえば組織的安全管理規定については、
組織体制の整備
- 事務における責任者の設置とその責任の明確化
- 事務担当者とその役割、取り扱う特定個人情報等の範囲の明確化
- 担当者の規定違反およびその兆候を把握した際の責任者への報告連絡体制
- 特定個人情報等を複数部門で取り扱う際の任務分担と各々の責任の明確化など
取扱規定等に基づく運用
- 特定個人情報ファイルの利用・出力状況・削除・廃棄の記録(削除・廃棄は証明の記録も)
- 書類・媒体などの持ち出し記録、担当者の情報システムログイン記録・アクセスログなど
取扱状況を確認する手段の整備
- 取扱状況を確認するための記録等(特定個人情報ファイルの種類・名称、責任者・取扱部門、利用目的、削除・廃棄状況、アクセス権を有する者など)
取扱状況の把握および安全管理措置の見直し
- 責任ある立場の者が特定個人情報等の取扱状況について定期的に点検する
といったように、おおまかではありますが、ある程度は具体的に規定されています。これを元に、自組織の規模や既存体制などに合わせて組織的安全管理措置を講じて下さい。