2015年10月16日
マイナンバー コンサルタント 浜松|マイナンバー 中小規模事業者の軽減措置について
カテゴリー │マイナンバー
こんにちは、マイナンバープロジェクト事務局です。
ガイドラインではマイナンバーを扱う全ての事業者には安全管理措置を義務付けていますが、一部の項目については、中小規模事業者に関して軽減措置が設けられています。
以下に中小規模事業者に対しての軽減措置を抜粋してみました。
< 取扱規程の策定 >------------------------------------------------
事務の流れを整理して、具体的な取扱規程を策定する義務がある。
↓ ↓ ↓
規程を策定する義務は無い。以下の点を取り決めておく。
特定個人情報等の取扱方法などを明確化する。
事務取扱担当者が変更になった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
< 組織的安全管理措置 >-------------------------------------------
a 組織体制の整備
安全管理措置を講ずるための組織体制を整備する。
↓ ↓ ↓
事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましいとされているが、義務ではない。また、組織体制を整備する必要は無い。
b 取扱規程に基づく運用
取扱規程に基づく運用状況を確認するため、システムログ又は利用実績等を記録する。
↓ ↓ ↓
特定個人情報等の取扱状況が分かるような記録を保存する。
具体的には、特定個人情報等の取得や廃棄を台帳に記録すること、源泉徴収票などマイナンバーを含む帳票類の作成日、帳票名、数量、交付日、提出日、提出先、提出作業者などを台帳に記録することなどが考えられる。
d 情報漏洩等事案に対応する体制の整備
情報漏洩等が発生または兆候が把握した場合に、適切かつ迅速に対応するための対応体制を整備する。
また、任意規定ではあるが、情報漏洩等事案が発生した場合、二次被害の防止、類似事案の発生防止の観点から、事案に応じて、事実関係及び再発防止策を早急に公表することが重要であるとされている。
↓ ↓ ↓
情報漏洩等事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておく。
e 取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。
↓ ↓ ↓
責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。
< E.物理的安全管理措置 >----------------------------------------
c 電子媒体等を持ち出す場合の漏洩等の防止
特定個人情報等が記録された電子媒体又は書類を管理区域又は取扱区域から持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じる。
↓ ↓ ↓
特定個人情報等が記録された電子媒体又は書類の移送に当たっては、安全な方策を講じる。
d 個人番号の削除、機器及び電子媒体等の廃棄
個人番号又は特定個人情報ファイルを削除した場合、又は電子媒体を廃棄した場合は、削除又は廃棄した記録を保存する。削除又は廃棄を委託した場合は、委託先から証明書等を発行してもらい確認する。
↓ ↓ ↓
特定個人情報等を削除・廃棄したことを確認する。(記録までは義務付けられていない。)
< F.技術的安全管理措置 >----------------------------------------
a アクセス制御
情報システムを利用して特定個人情報等を取り扱う場合、権限を持たない者にアクセスさせないなど、適切なアクセス制御を行う。
↓ ↓ ↓
特定個人情報等を取り扱う機器(パソコンなど)を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。また、機器に標準装備されているユーザー制御機能(Windowsのユーザーアカウント機能で起動時パスワードを設定する、など)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
弊社では 「マイナンバー対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
ガイドラインではマイナンバーを扱う全ての事業者には安全管理措置を義務付けていますが、一部の項目については、中小規模事業者に関して軽減措置が設けられています。
以下に中小規模事業者に対しての軽減措置を抜粋してみました。
< 取扱規程の策定 >------------------------------------------------
事務の流れを整理して、具体的な取扱規程を策定する義務がある。
↓ ↓ ↓
規程を策定する義務は無い。以下の点を取り決めておく。
特定個人情報等の取扱方法などを明確化する。
事務取扱担当者が変更になった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
< 組織的安全管理措置 >-------------------------------------------
a 組織体制の整備
安全管理措置を講ずるための組織体制を整備する。
↓ ↓ ↓
事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましいとされているが、義務ではない。また、組織体制を整備する必要は無い。
b 取扱規程に基づく運用
取扱規程に基づく運用状況を確認するため、システムログ又は利用実績等を記録する。
↓ ↓ ↓
特定個人情報等の取扱状況が分かるような記録を保存する。
具体的には、特定個人情報等の取得や廃棄を台帳に記録すること、源泉徴収票などマイナンバーを含む帳票類の作成日、帳票名、数量、交付日、提出日、提出先、提出作業者などを台帳に記録することなどが考えられる。
d 情報漏洩等事案に対応する体制の整備
情報漏洩等が発生または兆候が把握した場合に、適切かつ迅速に対応するための対応体制を整備する。
また、任意規定ではあるが、情報漏洩等事案が発生した場合、二次被害の防止、類似事案の発生防止の観点から、事案に応じて、事実関係及び再発防止策を早急に公表することが重要であるとされている。
↓ ↓ ↓
情報漏洩等事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておく。
e 取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。
↓ ↓ ↓
責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。
< E.物理的安全管理措置 >----------------------------------------
c 電子媒体等を持ち出す場合の漏洩等の防止
特定個人情報等が記録された電子媒体又は書類を管理区域又は取扱区域から持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じる。
↓ ↓ ↓
特定個人情報等が記録された電子媒体又は書類の移送に当たっては、安全な方策を講じる。
d 個人番号の削除、機器及び電子媒体等の廃棄
個人番号又は特定個人情報ファイルを削除した場合、又は電子媒体を廃棄した場合は、削除又は廃棄した記録を保存する。削除又は廃棄を委託した場合は、委託先から証明書等を発行してもらい確認する。
↓ ↓ ↓
特定個人情報等を削除・廃棄したことを確認する。(記録までは義務付けられていない。)
< F.技術的安全管理措置 >----------------------------------------
a アクセス制御
情報システムを利用して特定個人情報等を取り扱う場合、権限を持たない者にアクセスさせないなど、適切なアクセス制御を行う。
↓ ↓ ↓
特定個人情報等を取り扱う機器(パソコンなど)を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。また、機器に標準装備されているユーザー制御機能(Windowsのユーザーアカウント機能で起動時パスワードを設定する、など)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
弊社では 「マイナンバー対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
