<4D F736F F F696E74202D F E895E91978E968BC68ED28CFC82AF837D836A B>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D F E895E91978E968BC68ED28CFC82AF837D836A B>"

のぶのすけわにべ
5 years ago
Views:

1 第 5 章安全管理措置と取扱規程作成の実務編 62

2 1. 安全管理措置に係る規程又はマニュアルの策定事業者は特定個人情報等の取扱いを検討するに当たって個人番号を取扱う事務の範囲及び特定個人情報等の範囲を明確にした上で事務取扱担当者を明確にする必要がありますこれらを踏まえ特定個人情報等の適正な取扱いの確保について組織として取り組むために基本方針を策定することが重要です取扱規程マニュアルを策定し特定個人情報等を取扱う体制の整備及び情報システムの改修等を行う必要があります事業者は特定個人情報等の取扱いに関する安全管理措置について次のような手順で検討を行う必要があります 1 個人番号を取扱う事務の範囲の明確化事業者は個人番号関係事務又は個人番号利用事務の範囲を明確にしておかなければならない 2 特定個人情報等の範囲の明確化事業者は個人番号関係事務等で取扱う特定個人情報等の範囲を明確にしておかなければならないつまり事務において使用される個人番号及び個人番号と関連付けて管理される個人情報 ( 氏名生年月日等 ) の範囲を明確にする 3 事務取扱担当者の明確化事業者は個人番号関係事務等に従事する事務取扱担当者を明確にしておかなければならない 4 基本方針の策定事業者は特定個人情報等の適正な取扱いの確保について組織として取り組むために基本方針を策定することが重要である 5 取扱規程等の策定事業者は 1~3 で明確化した事務における特定個人情報等の適正な取扱いを確保するために取扱規程等を策定しなければならない 63

担当者の明確化担当者以外が個人番号を扱うことがないように取扱責任者や事務取扱担当者など担当者を明確にしましょう取扱責任者事務取扱担当者適切な教育役職員に対する個人番号

3 2. 組織的人的安全管理措置個人番号の取扱いは個人情報保護法よりも厳格な保護措置が設けられています個人番号を含む個人情報の漏えい紛失を防ぐために事業内容や規模に合わせた対応をしてください組織的人的安全管理措置としては個人番号を扱う担当者の明確化と役職員に対する適切な教育が必要です組織的人的安全管理措置担当者の明確化担当者以外が個人番号を扱うことがないように取扱責任者や事務取扱担当者など担当者を明確にしましょう取扱責任者事務取扱担当者適切な教育役職員に対する個人番号制度概要の周知など役職員への教育も大切です出典 : 内閣官房内閣府特定個人情報保護委員会総務省国税庁厚生労働省いよいよマイナンバー制度 ( 社会保障税番号制度 ) が始まります平成 27 年 5 月 64

4 3. 物理的技術的安全管理措置物理的技術的安全管理措置としては書類の廃棄鍵つき棚の準備情報へのアクセス制限ウィルス対策パーテーションの設置や座席の工夫 ( 特に覗き見されない座席配置の工夫 ) が求められます物理的技術的安全管理措置書類の廃棄鍵つき棚の準備シュレッダーなどプライバシーに配慮して書類を廃棄できるよう準備情報へのアクセス制限取扱担当者を決め他の人は情報にアクセスできない仕組みづくりウィルス対策ウィルス対策ソフトウエアの導入やアクセスパスワードの設定管理責任者パーテーションの設置や座席の工夫覗き見されない座席配置の工夫 PC 見えてる出典 : 内閣官房内閣府特定個人情報保護委員会総務省国税庁厚生労働省いよいよマイナンバー制度 ( 社会保障税番号制度 ) が始まります平成 27 年 5 月 65

5 4. 講ずべき安全管理措置の内容安全管理措置は 4 つの分類がある 4 分類に即して安全管理措置を検討します全ての事項を網羅する必要はなく実態に即して安全管理措置を検討します例えばパソコンを使用せずに事務処理している場合技術的安全管理措置は不要である特定個人情報に関する安全管理措置本則中小規模事業者の特例 a 組織体制の整備特例あり個人番号を取り扱う事務の範囲の明確化特定個人情報等の範囲の明確化事務取扱担当者の明確化 1 組織的安全管理措置 b 取扱規程等に基づく運用特例あり c 取扱状況を確認する手段の整備特例あり d 情報漏えい等事案に対応する体制の整備. 特例あり e 取扱状況の把握及び安全管理措置の見直し特例あり 2 人的安全管理措置 a 事務取扱担当者の監督 b 事務取扱担当者の教育 a 特定個人情報等を取り扱う区域の管理 3 物理的安全管理措置 b 機器及び電子媒体等の盗難等の防止 c 電子媒体等を持ち出す場合の漏えい等の防止特例あり d 個人番号の削除機器及び電子媒体等の廃棄特例あり a アクセス制御特例あり 4 技術的安全管理措置. b アクセス者の識別と認証特例あり c 外部からの不正アクセス等の防止 d 情報漏えい等の防止 66

6 5. 規程のタイトルタイトル作成上のポイントガイドラインではタイトルに関する指示事項はありません特定個人情報に関する安全管理措置をルール化した文書のうち組織的に機関決定した場合と組織的に機関決定していない場合に分けてタイトルを検討します組織内で機関決定した場合には規程規則等となるのが一般的です一方機関決定しない場合には要領マニュアルルール等のタイトルが一般的です既存の規程規則等の体系から適切なタイトルを選択してください文書管理体系に即して検討してください特定個人情報に関する安全管理措置の内容を的確に示すタイトルが望まれます規程とした場合のタイトル案特定個人情報に関する安全管理規程 ( 規則等 ) 特定個人情報に関する安全管理及び事務手続規程 ( 規則等 ) 特定個人情報事務手続規程 ( 規則等 ) 特定個人情報等取扱規程 ( 規則等 ) 特定個人情報規程 ( 規則等 ) 要領マニュアルとした場合のタイトル案特定個人情報に関する安全管理要領 ( マニュアル規則ルール等 ) 特定個人情報に関する安全管理及び事務手続の方法 ( 要領マニュアル等 ) 特定個人情報事務手続マニュアル ( 要領マニュアル等 ) 特定個人情報等取扱ルール ( 要領ルール等 ) 特定個人情報の管理事務処理規則 ( 要領マニュアルルール等 ) 67

7 6. 目的 ( 第 1 条 ) 目的作成上のポイントガイドラインでは目的に関する指示事項はありません規程要領における目的の記載は必須ではありませんが目的を記載することで規程要領等の文書の位置づけを明確にできる利点がありますトラック運送事業者では組織運営の文書体系 ( 規程 ) が体系的に整備されているケースが多いため目的を記載することが望まれます 1 第 1 条目的本規程は行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第 27 号以下番号法という ) 及び特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) ( 以下ガイドラインという ) に基づき特定個人情報等の適正な取扱いを確保するために定めるものである 2 第 1 条目的本規程は行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第 27 号以下番号法という ) 及び特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) ( 以下ガイドラインという ) に基づき特定個人情報等を適正に取扱いするための安全措置及び事務手続を定めるものである 68

8 7. 個人番号を取扱う事務の範囲 ( 第 2 条 ) ガイドラインでは以下のように特定個人情報等の範囲の明確化が指示されている特定個人情報等の範囲の明確化(1 安全管理措置の検討手順 ) 事業者は Aで明確化した事務において取扱う特定個人情報等の範囲を明確にしておかなければならない組織的安全管理措置 a 組織体制の整備手法の事務取扱担当者が取扱う特定個人情報等の範囲の明確化作成上のポイントトラック運送事業者では各組織で相違する内容ではないため以下の事務利用の項目を検討し追加削除して記載事項を確定してください第 2 条個人番号を取扱う事務の範囲 1 個人番号を取扱う事務のうち役職員役職員の扶養家族等の個人番号に関連する事務は次の各号に掲げるものとする 1 源泉徴収関連事務 ( 扶養控除等 < 異動 > 申告書含む ) 2 配偶者特別控除申告書作成事務 3 給与支払報告書作成事務 4 給与支払報告特別徴収に係る給与所得者異動届出書作成事務 5 特別徴収への切替申請書作成事務 6 退職所得に関する申告書作成事務 7 退職手当金等受給者別支払調書作成事務 8 健康保険厚生年金企業年金申請請求事務 9 財産形成住宅貯蓄財産形成年金貯蓄に関する申告書届出書申込書作成事務 10 健康保険厚生年金企業年金届出事務 11 国民年金第三号届出事務 12 雇用保険労災保険証明書作成事務 13 雇用保険労災保険届出事務 14 雇用保険労災保険申請請求事務 15 上記事務以外の関連事務 2 個人番号を取扱う事務のうち役職員以外の個人に係る個人番号に関連する事務は次の各号に掲げるものとする 1 報酬料金等の支払調書作成事務 2 配当剰余金の分配及び基金利息の支払調書作成事務 3 不動産の使用料等の支払調書作成事務 4 不動産等の譲受けの対価の支払調書作成事務 5 上記事務に関連する事務 69

9 8. 取扱う特定個人情報等の範囲 1( 第 3 条 ) 特定個人情報等の範囲の明確化事業者は明確化した事務において取扱う特定個人情報等の範囲を明確にしておかなければならない特定個人情報等の範囲は個人番号と一緒に管理する個人情報 ( 氏名生年月日等 ) でどのような項目を一緒に管理するか明確にします特定個人情報のイメージこれまで活用してきた役職員管理台帳氏名生年月日性別住所電話番号扶養家族社員番号入職年月日役職人事異動歴雇用保険番号健康保険証記号番号年金番号運転免許証番号個人番号を追記する個人番号特定個人情報厳格な取扱いが要求される氏名生年月日性別社員番号個人番号簡素化ケース役職員管理台帳範囲従来型に追記するケース役職員管理台帳氏名 / 生年月日性別住所電話番号扶養家族及び個人番号社員番号入職年月日役職人事異動歴雇用保険番号年金番号運転免許証番号個人番号 70

10 8. 取扱う特定個人情報等の範囲 2( 第 3 条 ) 特定個人情報の範囲 ( 個人番号と一緒に管理する項目 ) を明確化トラック運送事業者における現在役職員の人事管理台帳を確認してください方法 1: 現在役職員の氏名住所電話番号年金番号等の基礎情報を記録している台帳 ( 電子ファイル等 ) の項目を記載する方法 2: 新規に個人番号管理台帳 ( 電子ファイル等 ) を作成する方法 3: 既存の人事管理台帳に追記するとともに事務処理用に新規に個人番号管理台帳を作成 ( 人事管理台帳は一部の役員のみ閲覧可能とする ) 第 3 条特定個人情報の範囲前条において個人番号を取扱う事務において使用する特定個人情報の範囲は次の各号に掲げるものとするなお役職員とは雇用関係にある職員 ( 正職員契約職員嘱託職員パート職員アルバイト職員等 ) と当社の間に雇用関係にない常勤及び非常勤の取締役監査役等を含み雇用関係にない派遣社員等を含まないものとする 1 役職員及び個人番号と共に管理される氏名生年月日性別住所電話番号役職員番号運転免許証番号年金番号健康保険証の保険番号所属部課役職扶養家族の有無等 2 扶養家族の個人番号及び共に管理される扶養家族の氏名生年月日年齢性別住所年金番号健康保険証の保険番号扶養控除の有無役職員の氏名等 3 役職員以外の個人に係る個人番号関係事務に関連して取得した個人番号及び個人番号と共に管理する氏名生年月日性別住所電話番号業務内容年間支払報酬額等 71

11 9. 事務取扱責任者及び事務取扱担当者の明確化 ( 第 4 条 ) 組織的安全管理措置事務取扱担当者の明確化事業者は個人番号に関する事務に従事する事務取扱担当者を明確にしておかなければならない手法の事務における責任者の設置及び責任の明確化事務取扱担当者の明確化及びその役割の明確化事務取扱担当者が複数いる場合責任者と事務取扱担当者を区分することが望ましい ( 中小規模事業者における対応方法 ) 作成上のポイント事務取扱責任者及び事務取扱担当者事務取扱責任者及び事務取扱担当者の 2 階層に担当を設置します事務取扱担当者のみとすることも可能事務取扱責任者経理部長及び総務部長を事務取扱責任者とする場合どちらか一方を全体の責任者として責任の所在を明確にします事務取扱担当者の指名事務取扱責任者については代表取締役が指名する方法または予め規程等に役職を示す方法があります第 4 条事務取扱責任者及び事務取扱担当者の明確化 1 事務取扱責任者は事務局長をとするなお事務局長の役職が不在の場合代表取締役が事務取扱責任者を指名する 2 事務取扱責任者は事務取扱担当者を指名することができる 3 事務取扱責任者は事務取扱担当者の事務範囲を予め定めるものとする 72

12 10. 事務取扱責任者等の監督 ( 第 5 条 ) 人的安全管理措置事務取扱担当者の監督事業者は特定個人情報等が取扱規程等に基づき適正に取り扱われるよう事務取扱担当者に対して必要かつ適切な監督を行う作成上のポイント規程等においては事務取扱責任者及び事務取扱担当者の監督を行う者の役職を具体的に示します取締役の業務執行の監督として監査役が監督することも可能ですが最初から設定する必要はありません最初は簡易に設計し運用状況を見極めたうえで必要に応じて検討してください規程には簡潔に監督すると示し事務取扱責任者の業務をどのように監督するか具体的な方法については業務要領を作成して対応することも可能です第 5 条事務取扱責任者等の監督代表取締役は特定個人情報等が番号法及び本規程に基づき適正に取り扱われるよう事務取扱責任者等に対して必要かつ適切な監督を行うものとする 73

13 11. 事務取扱責任者等の変更に伴う引継ぎ及び監督 ( 第 6 条 ) 組織的安全管理措置確実な引継ぎと責任者による確認 ( 中小規模事業者における対応方法 ) 事務取扱担当者が変更となった場合確実な引継ぎを行い責任ある立場の者が確認します作成上のポイント責任ある立場の役職は代表取締役取締役が望ましい確実な引継ぎを実施するために業務引継簿を作成し内容を確認する責任ある立場の者 ( 代表取締役等 ) は業務引継簿の内容確認を実施するとともに取扱責任者等から業務引継の実態を聞き取り等により業務引継が適切に実施されたか確認する第 6 条事務取扱責任者等の変更に伴う引継ぎ及び監督 1 事務取扱責任者等が変更となった場合従前の事務取扱責任者等は新たに事務取扱責任者等となる者に対して業務引継簿を作成して確実に引継ぎするものとする 2 代表取締役は前項の業務引継ぎについて業務引継簿の内容確認及び業務引継ぎの実態に関する聞き取り等により確認するものとする 74

14 12. 教育研修 ( 第 7 条 ) 人的安全管理措置事務取扱担当者の教育事業者は事務取扱担当者に特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う手法の特定個人情報等の取扱いに関する留意事項等について役職員事務取扱責任者等に対して定期的な研修等を行う特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込むことが考えられる作成上のポイント事務取扱担当者の教育は義務事項であるため教育訓練の記載は必須である事務取扱担当者以外の役職員においてもマイナンバー制度への理解を深め事業者が番号法等の諸法令の遵守を徹底するために定期的に研修会を開催することが望ましい ( 任意 ) 第 7 条事務取扱責任者等の教育研修代表取締役は事務取扱責任者等が番号法ガイドライン及び本規程を遵守し特定個人番号等の適正な取扱いが周知徹底されるよう事務取扱責任者等に対する研修を1 年に1 回以上受講させるものとする 75

15 13. 取扱状況を確認する手段の整備 ( 第 8 条 ) 組織的安全管理措置特定個人情報ファイルの取扱状況を確認するための手段を整備するなお取扱状況を確認するための記録等には特定個人情報等は記載しない手法の * 取扱状況を確認するための記録等としては次に掲げるものが挙げられる特定個人情報ファイルの種類名称責任者取扱部署利用目的削除廃棄状況アクセス権を有する者特定個人情報等の取扱状況の分かる記録を保存する ( 中小規模事業者における対応方法 ) 第 8 条取扱状況を確認する手段の整備 1 特定個人情報ファイルの取扱状況を確認するための手段を整備する 2 取扱状況を確認するために次の各号の特定個人情報管理台帳及び特定個人情報を記載した申請書届出書等管理ファイルの記録を整備する 1 特定個人情報取扱いに係る管理台帳種類 : 特定個人情報の取扱状況等管理台帳管理部 : 総務部及び経理部責任者 : 事務取扱責任者利用目的 : 特定個人情報の取得利用提供保管削除廃棄の各段階における取扱状況及び運用状況を管理閲覧可能権者 : 代表取締役及び事務取扱責任者等 2 特定個人情報を記載した申請書届出書等管理ファイル種類 : 特定個人情報を記載した申請書等の写しを管理するためのファイル管理部 : 総務部 ( 社会保険関連書類 ) 経理部 ( 税務関連書類 ) 責任者 : 事務取扱責任者利用目的 : 特定個人情報を記載した申請書届出書等の控えを保管閲覧可能権者 : 代表取締役及び事務取扱責任者等 76

16 14. 取扱規程に基づく運用状況の確認 ( 第 9 条 ) 組織的安全管理措置取扱規程等に基づく運用本則 : 取扱規程等に基づく運用状況を確認するためシステムログ又は利用実績を記録する手法の特定個人情報ファイルの利用出力状況の記録書類媒体等の持出しの記録特定個人情報ファイルの削除廃棄記録削除廃棄を委託した場合これを証明する記録等特定個人情報ファイルを情報システムで取扱う場合事務取扱担当者の情報システムの利用状況 ( ログイン実績アクセスログ等 ) の記録特定個人情報等の取扱状況の分かる記録を保存する ( 中小規模事業者における対応方法 ) 第 9 条取扱規程に基づく運用状況の確認事務取扱担当者は特定個人情報の取得利用提供保管削除廃棄の各段階における取扱状況及び運用状況については次の各号に掲げる事項について特定個人情報管理台帳に記録し保存するものとする 1 特定個人情報の取得入手年月日個人番号氏名生年月日性別住所等を記録特定個人情報に変更があった場合の特定個人情報変更の年月日 2 特定個人情報の利用提出書類の作成及び提出の年月日特定個人情報の記載書類を本人に交付した年月日等を記録 3 特定個人情報の提供特定個人情報を提供年月日提供相手目的等 4 特定個人情報の保管特定個人情報管理台帳及び届出書等の写し等の保管場所の鍵利用管理台帳 5 特定個人情報の削除廃棄特定個人情報を削除廃棄した年月日上記以外の項目で必要に応じて特定個人情報管理台帳に記録する 77

17 15. 情報漏えい等の事案に対応する体制の整備 ( 第 10 条 ) 組織的安全管理措置情報漏えい等事案に対応する体制の整備情報漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備する情報漏えい等の事案が発生した場合二次被害の防止類似事案の発生防止等の観点から事案に応じて事実関係及び再発防止策等を早急に公表することが重要である手法の情報漏えい等の事案の発生時に次のような対応を行うことを念頭に体制を整備することが考えられる事実関係の調査及び原因の究明影響を受ける可能性のある本人への連絡委員会及び主務大臣等への報告再発防止策の検討及び決定事実関係及び再発防止策等の公表情報漏えい等の事案の発生等に備え従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく ( 中小規模事業者における対応方法 ) 第 10 条情報漏えい等の事案に対応する体制の整備事務取扱責任者等は特定個人情報等の漏えい等が発生したことを知った場合又はその可能性が高いと判断した場合は代表取締役に対して直ちに報告するものとする 78

18 16. 取扱状況の把握及び安全管理措置の見直し ( 第 11 条 ) 組織的安全管理措置取扱状況の把握及び安全管理措置の見直し特定個人情報等の取扱状況を把握し安全管理措置の評価見直し及び改善に取り組む手法の特定個人情報等の取扱状況について定期的に自ら行う点検又は他部署等による監査を実施する外部の主体による他の監査活動と合わせて監査を実施することも考えられる責任ある立場の者が特定個人情報等の取扱状況について定期的に点検を行う ( 中小規模事業者における対応方法 ) 作成上のポイント責任ある立場にある者とは以下のケースが想定されます 1 代表取締役責任者 : 取締役総務部長 2 取締役責任者 : 総務部長等 (2 を前提にを作成 ) 第 11 条取扱状況の把握及び安全管理措置の見直し 1 事務取扱責任者は特定個人情報等の取扱状況について定期的に点検を行い代表取締役に報告するものとする 2 代表取締役は特定個人情報等の取扱状況について 1 年に1 回以上点検を実施し必要に応じて安全管理措置の見直しを実施する 79

19 17. 特定個人情報等を取扱う場所の管理 ( 第 12 条 ) 物理的安全管理措置特定個人情報等を取扱う場所の管理特定個人情報等の情報漏えい等を防止するために特定個人情報ファイルを取扱う情報システムを管理する場所 ( 以下管理場所という ) 及び特定個人情報等を取扱う事務を実施する場所 ( 以下取扱場所という ) を明確にし物理的な安全管理措置を講ずる手法の管理場所に関する物理的安全管理措置としては入退室管理及び管理場所へ持ち込む機器等の制限等が考えられる管理場所とは特定個人情報ファイルを取扱う情報システムを管理する場所をいう入退室管理方法としては ICカードナンバーキー等による入退室管理システムの設置等が考えられる取扱場所に関する物理的安全管理措置としては壁又は間仕切り等の設置及び座席配置の工夫等が考えられる取扱場所とは特定個人情報等を取扱う事務を実施する場所をいう第 12 条特定個人情報等を取扱う場所の管理特定個人情報の保管場所及び取扱場所を明確にしそれぞれの場所に対し次の各号に従い次の各号に掲げる措置を講じる 1 特定個人情報の保管場所事務取扱責任者は特定個人情報の保管場所について事務所内の施錠できるキャビネット ( 棚 ) を定め厳重に管理を行うものとする保管場所の利用者は鍵貸出管理台帳に記録し事務取扱責任者から鍵の貸出を受ける 2 特定個人情報の取扱場所特定個人情報を記載する事務処理に際しては往来が少ない場所に座席を配置し必要に応じてパテーションを設置するまたパソコンを使って事務処理を実施する場合も同様である 80

20 18. 管理台帳管理ファイル及びパソコンの盗難等の防止 ( 第 13 条 ) 物理的安全管理措置機器及び電子媒体等の盗難等の防止管理場所及び取扱場所における特定個人情報等を取扱う機器電子媒体及び書類等の盗難又は紛失等を防止するために物理的な安全管理措置を講ずる手法の特定個人情報等を取扱う機器電子媒体又は書類等を施錠できるキャビネット書庫等に保管する特定個人情報ファイルを取扱う情報システムが機器のみで運用されている場合はセキュリティワイヤー等により固定すること等が考えられる検討のポイント盗難防止のための対策として各事業者の実態に即して検討してくださいパソコンサーバーに保管している場合には電子機器をセキュリティワイヤー等で固定します書類ファイルは施錠のできる保管棚を用意してください施錠できる棚を用意した場合には当該鍵の管理簿を作成し事務取扱責任者が管理します第 13 条管理台帳管理ファイル及びパソコンの盗難等の防止特定個人情報等の保管場所及び取扱場所において管理台帳管理ファイル及び特定個人情報等を取扱うパソコンの盗難又は紛失等を防止するために次の各号に掲げる措置を講じる 1 特定個人情報等を取扱う電子媒体又はファイル等を施錠できるキャビネット ( 棚 ) に保管する 2 特定個人情報ファイルを取扱うパソコン ( 及びサーバー ) はセキュリティワイヤー等により固定する 81

21 19. 特定個人情報等を持出す場合の漏えい紛失の防止策 ( 第 14 条 ) 物理的安全管理措置電子媒体等を持ち出す場合の漏えい等の防止特定個人情報等が記録された電子媒体又は書類等を持ち出す場合容易に個人番号が判明しない措置の実施追跡可能な移送手段の利用等安全な方策を講ずるここで持出しとは特定個人情報等を管理場所又は取扱場所の外へ移動させることをいい事業所内での移動等であっても紛失盗難等に留意する必要がある手法の特定個人情報等が記録された電子媒体を安全に持ち出す方法としては持出しデータの暗号化パスワードによる保護施錠できる搬送容器の使用等が考えられるただし行政機関等に法定調書等をデータで提出するに当たっては行政機関等が指定する提出方法に従う特定個人情報等が記載された書類等を安全に持ち出す方法としては封緘目隠しシールの貼付を行うこと等が考えられる特定個人情報等が記録された電子媒体又は書類等を持ち出す場合パスワードの設定封筒に封入し鞄に入れて搬送する等紛失盗難等を防ぐための安全な方策を講ずる ( 中小規模事業者における対応方法 ) 第 14 条特定個人情報等を持出す場合の漏えい紛失の防止策 1 特定個人情報等が記録された電子媒体又は書類等の持出しは次に掲げる場合を除き禁止するなお持出しとは特定個人情報等を管理場所又は取扱場所の外へ移動させることをいい事業所内での移動等も持出しに該当するものとする 1 個人番号関係事務に係る外部委託先に委託事務を実施する上で必要と認められる範囲内でデータを提供する場合 2 行政機関等への法定調書の提出等当社が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合 2 事務取扱責任者等は特定個人情報等が記載された書類等を持ち出す場合パスワードの設定封筒に封入し鞄に入れて搬送する等紛失盗難等を防ぐための方策を講ずる 82

22 20. 個人番号の削除機器等の廃棄 1( 第 15 条 ) 物理的安全管理措置個人番号の削除機器及び電子媒体等の廃棄個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合で所管法令等において定められている保存期間等を経過した場合には個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には削除又は廃棄した記録を保存するまたこれらの作業を委託する場合には委託先が確実に削除又は廃棄したことについて証明書等により確認する手法の * 特定個人情報等が記載された書類等を廃棄する場合焼却又は溶解等の復元不可能な手段を採用する * 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合専用のデータ削除ソフトウェアの利用又は物理的な破壊等により復元不可能な手段を採用する * 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合容易に復元できない手段を採用する * 特定個人情報等を取扱う情報システムにおいては保存期間経過後における個人番号の削除を前提とした情報システムを構築する * 個人番号が記載された書類等については保存期間経過後における廃棄を前提とした手続を定める特定個人情報等を削除廃棄したことを責任ある立場の者が確認する ( 中小規模事業者における対応方法 ) 83

23 20. 個人番号の削除機器等の廃棄 2( 第 15 条 ) 第 15 条個人番号の削除機器等の廃棄代表取締役は個人番号の削除パソコン書類の廃棄等を実施する場合次に掲げる各号の措置が実施されたことを確認する 1 特定個人情報等を取扱うパソコンを廃棄し別途パソコンを設置する場合ハードディスク等の記憶装置を物理的に破壊するか特殊なソフトを利用してデータを完全に消去する 2 特定個人情報等を記載した申請書等の書類の法定保管期限が経過した場合当該書類に記載された個人番号部分をマスキングした上でシュレッダーにより粉砕するか清掃工場に持ち込み廃棄する 3 パソコンサーバー等に特定個人情報が記録されている場合法定保管期限の経過等により削除する場合確実に削除を実施する 4 特定個人情報等を提供している場合委託先が削除又は廃棄したことを委託先が発行する証明書により確認する 84

24 21. アクセス制御及びアクセス者の識別と認証 2 ( 第 16 条 ) 技術的安全管理措置アクセス制御情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合事務取扱担当者及び当該事務で取扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う手法の特定個人情報ファイルを取扱う情報システムをアクセス制御により限定するユーザー IDに付与するアクセス権により特定個人情報ファイルを取扱う情報システムを使用できる者を事務取扱担当者に限定するアクセス者の識別と認証特定個人情報等を取扱う情報システムは事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する手法の事務取扱担当者の識別方法としてはユーザー ID パスワード磁気 ICカード等が考えられる中小規模事業者における対応方法特定個人情報等を取扱う機器を特定しその機器を取扱う事務取扱担当者を限定することが望ましい機器に標準装備されているユーザー制御機能( ユーザーアカウント制御 ) により情報システムを取扱う事務取扱担当者を限定することが望ましい 85

25 21. アクセス制御及びアクセス者の識別と認証 2 ( 第 16 条 ) 第 16 条アクセス制御及びアクセス者の識別と認証特定個人情報等へのアクセス制御及びアクセス者の識別と認証は以下の措置を講じる < パソコンで特定個人情報を用いた事務処理を実施する場合 > 1 特定個人情報等を取扱うパソコンを予め特定する当該パソコンを取扱うことができる事務取扱責任者等を限定するためアクセス制御機能を活用しユーザー ID 及びパスワードを設定するとともにパスワードを定期的に更新する < サーバーで特定個人情報を保管共有して事務処理する場合 > 2 事務所内ネットワークにおいて特定個人情報等のデータをサーバー等で共有するため当該データにアクセスできる者は事務取扱責任者等を限定するためアクセス制御機能を活用しユーザー ID 及びパスワードを設定するとともにパスワードを定期的に更新する 86

26 22. 外部からの不正アクセス等の防止策 ( 第 17 条 ) 技術的安全管理措置情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し適切に運用する手法の情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し不正アクセスを遮断する情報システム及び機器にセキュリティ対策ソフトウェア等( ウイルス対策ソフトウェア等 ) を導入する導入したセキュリティ対策ソフトウェア等により入出力データにおける不正ソフトウェアの有無を確認するログ等の分析を定期的に行い不正アクセス等を検知する検討のポイント特定個人情報をパソコンで保管しない場合又はインターネットに接続していないパソコンで管理する場合には本規定は不要です事務局内部にインターネットに接続しない個人番号を取扱う専用の事務処理用のパソコンとプリンターを設置すれば外部からの不正アクセスによる情報漏えいの懸念がなくなりますインターネットに接続しているパソコン等で個人番号を活用した事務を実施する場合には不正アクセス等の防止策が求められます 87

27 22. 外部からの不正アクセス等の防止 ( 第 17 条 ) 第 17 条外部からの不正アクセス等の防止策特定個人情報等を活用した事務処理を行うパソコンが外部からの不正アクセス又は不正ソフトウェアから保護するため次の各号に掲げる措置を講じる 1 情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し不正アクセスを遮断する 2 情報システム及び機器にセキュリティ対策ソフトウェア等 ( ウイルス対策ソフトウェア等 ) を導入する 3 導入したセキュリティ対策ソフトウェア等により入出力データにおける不正ソフトウェアの有無を確認する 4 機器やソフトウェア等に標準装備されている自動更新機能等の活用によりソフトウェア等を最新状態とする 5 ログ等の分析を定期的に行い不正アクセス等を検知する 88

28 23. 電子メール等による送信時の情報漏えい等防止策 ( 第 18 条 ) 技術的安全管理措置特定個人情報等をインターネット等により外部に送信する場合通信経路における情報漏えい等を防止するための措置を講ずる手法の通信経路における情報漏えい等の防止策としては通信経路の暗号化等が考えられる情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としてはデータの暗号化又はパスワードによる保護等が考えられる検討のポイント特定個人情報をパソコンで保管しない場合又はインターネットに接続しないパソコンで管理する場合には本規定は不要です第 18 条電子メール等による送信時の情報漏えい等防止策特定個人情報等が記載されたデータについて電子メール等により送信する場合通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するためデータの暗号化又はパスワードによる保護を実施する 89

29 24. 特定個人情報の取扱いにおける安全管理措置 ( 第 19 条 ) 特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない手法の取扱規程等は次に掲げる管理段階ごとに取扱方法責任者事務取扱担当者及びその任務等について定めることが考えられる具体的に定める事項については安全管理措置を織り込むことが重要である 1 取得する段階 2 利用を行う段階 3 保存する段階 4 提供を行う段階 5 削除廃棄を行う段階検討のポイント安全措置については各段階に一括適用するとする文言を入れる各段階において個別詳細に定める方法もあるが実際に運用が開始されてから明確になる事項も多いため最初は簡易に策定して後に段階的に修正する対応でもよい第 19 条特定個人情報の取扱いにおける安全管理措置等特定個人情報の取得利用保管提供廃棄削除の各段階における安全管理措置個人番号の取扱い等については第 2 条から第 18 条に従うものとする 90

30 25. 改廃 ( 第 20 条 ) 及び附則改廃 ( 第 20 条 ) 規程を改定廃止する場合にどのようなプロセスを経て行うかを示すマニュアルのように取締役会の決議を経ない場合には事務取扱責任者が改廃を行うでも可能です第 20 条改廃本規程の改廃は取締役会の決議による附則規程の施行期日や経過措置等に関する事項が定めます附則本規程は平成年月日から施行する 91

Microsoft PowerPoint _事業者_平成27年度マイナンバー

Microsoft PowerPoint _事業者_平成27年度マイナンバー特定個人情報等取扱要領 ( 案 ) 平成年月日制定運送株式会社第 1 章総則第 1 条目的本要領は行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第 27 号以下番号法という ) 及び特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) に基づき当社の取り扱う特定個人情報等の適正な取扱いを確保するために定める第 2 条個人番号を取り扱う事務の範囲