マイナンバー法で求められる安全管理措置マイナンバーを含む特定個人情報は、「特定個人情報の適正な取り扱いに関するガイドライン」に従って安全管理措置を講じることが求められています。
具体的には以下の通りです。
①基本方針の策定
②取扱規定などの策定
③組織的安全管理措置
④人的安全管理措置
⑤物理的安全管理措置
⑥技術的安全管理措置
図表4 民間企業に求められる安全管理措置
出典:『マイナンバー社会保障・税番号制度 民間事業者の対応平成27年5月版』
(内閣官房・内閣府 特定個人情報保護委員会 総務省・国税庁・厚生労働省)
http://www.cas.go.jp/jp/seisaku/bangoseido/download/slidejigyou_siryou.pdf
特に、ITシステムや情報セキュリティの責任者や実務担当者の方は、「技術的安全管理措置」について理解していることが重要です。技術的安全管理措置では、次に紹介する4つの措置を講ずることが求められています。
技術的安全管理措置で求められる4施策(1)アクセス制御
情報システムを利用する際、マイナンバー制度の目的で必要となる範囲を超える個人情報にアクセスできないよう、適切なアクセス制御などを行う必要があります。
(2)アクセス者の識別と認証
マイナンバー制度の事務を行う正規の者が正当なアクセス権を有することを、IDやパスワード、ICカードなどを使って識別できるようにします。
(3)外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用します。
(4)情報漏えいなどの防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置(暗号化・パスワードによる保護など)などを講じなければなりません。
注意しなくてはならないのは、ガイドラインには「事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない」とされている点です。
つまり、「努力義務」ではなく「実施義務」が事業者には課せられており、これらに従わなかった場合、法令違反とされるケースもありえますので、心して対応すべきでしょう。
