セキュリティの論点

マイナンバーと情報漏洩--特定個人情報を扱うために必要な体制とは - (page 3)

中山貴禎

2015-07-06 07:00

ガイドラインを参照する

 これらの項目に着手する上で、各企業の情報管理やセキュリティの体制にもよりますが、特定個人情報保護委員会から2014年12月に出された、「特定個人情報の適正な取り扱いに関するガイドライン」にある「講ずべき安全管理措置」を検討、実施する必要があります。

 1~2について、構成員の個人マイナンバーを取り扱うのは、人事総務系の部門になると思います。組織によって、この部門が通常業務で顧客情報や知財などといった、いわゆる「営業秘密」を管理しているのか、いないのかは分かれるところだと思います。

 特にこうした営業秘密の取り扱いに慣れていない場合は、「ガイドライン」にある「講ずべき安全管理措置」を参照することをお勧めします。

 これまで営業秘密を取り扱っていた経験値のある部門であったとしても、いい機会ですので上記は見直すべきでしょう。

 本件について簡単にまとめますと、まず安全管理措置の検討手順としては

  1. 個人マイナンバーを取り扱う事務の範囲の明確化
  2. 取り扱う特定個人情報等の範囲の明確化
  3. 事務取扱担当者の明確化
  4. 基本方針の策定
  5. 取扱規定などの策定

 という手順で実施する必要があると記載されています。まずは、この手順に従って検討を進めていただくことをお勧めします。

 また、実際に講ずべき安全管理措置の内容については、同ガイドラインに「組織的、人的、物理的、技術的安全管理措置」の4つが記載されています。

 たとえば組織的安全管理規定については、

組織体制の整備

  • 事務における責任者の設置とその責任の明確化
  • 事務担当者とその役割、取り扱う特定個人情報等の範囲の明確化
  • 担当者の規定違反およびその兆候を把握した際の責任者への報告連絡体制
  • 特定個人情報等を複数部門で取り扱う際の任務分担と各々の責任の明確化など

取扱規定等に基づく運用

  • 特定個人情報ファイルの利用・出力状況・削除・廃棄の記録(削除・廃棄は証明の記録も)
  • 書類・媒体などの持ち出し記録、担当者の情報システムログイン記録・アクセスログなど

取扱状況を確認する手段の整備

  • 取扱状況を確認するための記録等(特定個人情報ファイルの種類・名称、責任者・取扱部門、利用目的、削除・廃棄状況、アクセス権を有する者など)

取扱状況の把握および安全管理措置の見直し

  • 責任ある立場の者が特定個人情報等の取扱状況について定期的に点検する

 といったように、おおまかではありますが、ある程度は具体的に規定されています。これを元に、自組織の規模や既存体制などに合わせて組織的安全管理措置を講じて下さい。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]