マイナンバー対策セミナー（実践編）　「マイナンバー対策マニュアル」を利用した具体的な対策方法について

マイナンバー対策セミナー ( 実践編 ) マイナンバー対策マニュアルを利用した具体的な対策方法について 2015 年 9 月 -10 月

1 はじめにマイナンバー対策の本質を理解するマイナンバー対策はあらゆる対処をすることによりリスクを潰そうとする取り組みではないマイナンバー対策の目的はリスクを管理できるようになることであるマイナンバー対策マニュアル P1-P3 2

2 ゴール像マイナンバー対策のゴール像は効率コストパフォーマンスが加味された状態で持続的にリスク管理の PDCA が回せている状態を指すマイナンバー対策マニュアル P4-P9 3

3 ゴールに至るプロセスマイナンバー対策とは以下の3 点の作業を実施することである 1 業務範囲を限定する 2 基本方針取扱規定オフィスマニュアルを作成する 3 整備したルールの通りに運用が回るよう歯止めをかけるマイナンバー対策マニュアル P10-P14 4

4 プロセスの実践 1 業務範囲を限定する誰が? マイナンバーを取り扱うメンバーを限定できないか? 取り扱う職員を限定する業務種別毎に区別する ( 収集利用廃棄 ) 何を? マイナンバーが記載された資料の取り扱いを限定できないか? 収集保管廃棄の注意点利用時の注意点いつ? どこで? マイナンバーを取り扱う時間を限定できないか? マイナンバーを取り扱う場所を限定できないか? 時間で区分できるか? 事務所内のレイアウトの見直し別添資料 1 なぜ? マイナンバーを取り扱う業務を限定できないか? 税に関する分野の洗い出し ( 年末調整確定申告その他 ) どのように? マイナンバーを取り扱う手段を限定できないか? 電子申告と紙での申告マイナンバー対策マニュアル P15-P16 5

4 プロセスの実践 2 基本方針を作成する関係法令ガイドライン等の遵守個人情報に関する法令ガイドライン等を遵守する旨を記載します利用目的個人情報の利用目的を明らかにする旨を記載します適切な管理収集利用保管提供において個人情報を適正に取り扱う旨を記載します別添資料 2 継続的な改善基本方針等を定期的に見直し継続的に改善する旨を記載します問い合わせ先個人情報の取扱に関する質問や苦情等の受付窓口を設定する旨を記載しますマイナンバー対策マニュアル P16-P17 6

4 プロセスの実践 2 取扱規程を作成する適用範囲取扱規程を適用する範囲を記載します定義取扱規程の中で扱う用語の定義を記載します組織体制個人情報保護責任者等各種責任者の責務を記載します適切な管理監査収集利用保管提供において本人確認安全管理措置監督責任説明責任を適正に実施するための取扱方法を記載します運用状況を確認し必要に応じて見直し是正するための手順を確立するとともにそれらを確実に実施する旨を記載します別添資料 3 継続的な改善取扱規程等を定期的に見直し継続的に改善する旨を記載しますマイナンバー対策マニュアル P17 7

4 プロセスの実践 2 オフィスマニュアルを作成する本人確認マイナンバーを正しく収集するために確認作業を行うこと安全管理措置漏えい滅失毀損の防止等のために措置を講じること監督責任個人番号関係事務を委託する場合にも委託者自らが果たすべき安全管理措置と同等の措置が講じられるように必要かつ適切な委託先の監督を行うこと別添資料 4 説明責任 ( 提供する側が ) 根拠を持って提供できるように収集時に目的を通知または公表することマイナンバー対策マニュアル P18 8

4 プロセスの実践 3 整備したルールの通りに運用が回るよう歯止めをかける従業者への啓蒙活動の実施個別の対処を導入するオフィスマニュアルマイナンバー対策マニュアル P19-P20 9

オフィスマニュアル項目必要とされるもの ( 例 ) 1. 本マニュアルの目的 - 2. 定義 - 3. 役割責任セキュリティ体制図 4. 物理的区画およびアクセス制御レイアウト図 4.1. 物理的区画事務室の区分の検討 4.2. アクセス可能者およびアクセス制御方法施錠システム鍵管理簿来訪者受付表 5. 入退室のルール従業員証入室権限管理簿 5.1. 従業者の入退室従業員証 5.2. 来訪者への対応入館証来訪者受付表別添資料 4 オフィスマニュアル P1-P3 は既出のもの 10

オフィスマニュアル項目必要とされるもの ( 例 ) 6. 情報の管理ルール個人情報管理台帳情報の移送記録簿持出管理表メディアシュレッダー廃棄記録簿 6.1. 情報の収集取得のルール利用目的の明示資料個人情報管理台帳 ( 保存期間の設定 ) 個人情報管理台帳の形式個人情報の保管方法についての検討 6.2. 情報の保管廃棄のルール - 6.2.1. 情報の保管ファイルサーバキャビネット ( 鍵つき ) 6.2.2. 情報の廃棄シュレッダーメディアシュレッダー溶解業者の選定 6.3. 情報の提供利用流通のルール - 6.3.1. 情報の送信パスワードの設定 ( ルール ) 6.3.2. 情報の移送郵送 ( 配送 ) 手段の選定 6.3.3. 情報の持ち出し持出管理表別添資料 4 オフィスマニュアル P4-P5 は既出のもの 11

12 オフィスマニュアル個人情報管理台帳の形式個人情報の保管方法についての検討 ( 達人を利用した管理のイメージ ) 収集保管利用廃棄デタ管理の達人本人確認書類 Cube テータヘースマイナンバー本人確認書類の読みとり事務所内サーバに保管電子申告データに変換マージ送信税務署 Cube テータヘースマイナンバーの削除処理紙での管理本人確認書類本人確認書類 ( 現物 ) の回収本人確認書類事務所内にファイリング保管 PDF 本人確認書類事務所内サーバに保管 ( 原本は削除 ) 個人情報管理台帳の作成コヒー本人確認書類コピーを添付して提出プリントアウトを添付して提出 PDF 本人確認書類税務署税務署本人確認書類現物をシュレッダー溶解処理

オフィスマニュアル項目必要とされるもの ( 例 ) 7. 業務委託利用時のルール - 7.1. 委託先の選定選定基準の検討設定 7.2. 委託先との契約契約内容の確認 7.3. 委託先の監督 - 7.4. 委託および再委託の際の注意 - 8. 事務所利用のルール実施要項 8.1. 一時離席時の実施事項 PCロックスクリーンセーバーの設定 8.2. 帰宅時の実施事項キャビネット( 鍵つき ) 8.3. 最終退出時の実施要項実施チェックリスト 8.4. 宅配便等利用時の実施要項来訪履歴 8.5. 複合機 (FAX コピー機) 利用時の実施要項 - 別添資料 4 オフィスマニュアル P6-P7 は既出のもの 13

オフィスマニュアル項目必要とされるもの ( 例 ) 9. 鍵の利用ルール鍵管理簿 10.PC 等の情報機器記録媒体の利用ルール 10.1.PC 等の情報機器記録媒体の払い出し作業報告書設定内容管理簿払い出し管理簿 10.2. 払い出しを受けた PC 等の情報機器記録媒体の管理セキュリティワイヤー 10.3.PC 等の情報機器記録媒体の持ち出し持出管理簿 10.4.PC 等の情報機器記録媒体の持ち込み - 10.4.1. 私物の情報機器記録媒体禁止とする 10.4.2. 保守業者等の情報機器記録媒体持込管理簿 10.5.PC 等の情報機器記録媒体の返却払い出し管理簿別添資料 4 オフィスマニュアル P8-P9 は既出のもの 14

オフィスマニュアル項目必要とされるもの ( 例 ) 11. 情報システムおよびネットワークの利用ルールネットワーク管理簿 11.1.ID パスワードの管理 ID パスワード管理簿 11.2. インターネットの利用インターネット利用規定 11.3. 悪意のあるソフトウェア等への感染防止インターネット利用規定 11.4. 電子メールの利用インターネット利用規定 12. 従業者の配属時異動時の実施事項教育計画書教育実施管理簿誓約書 12.1. 配属時払い出し管理簿教育計画書教育実施管理簿誓約書 12.2. 異動時払い出し管理簿 13. 従業員への教育教育計画書教育実施管理簿 14. ルール遵守状況の確認 - 15. 管理方法の見直しおよび当マニュアルの改編 - 別添資料 4 オフィスマニュアル P10-P13 は既出のもの 15

16 おわりにマイナンバー対策はリスクを管理できるようにすることです目の前のリスクを潰すためにむやみにコストをかけるのではなく効率よく管理していただくために NTT データでは最善のサービスと情報をご提供して参ります

17 つづいて達人シリーズはマイナンバー対策において業務範囲の特定を効率よく行うための重要なソフトウェアです達人シリーズのマイナンバー対応における改変点大幅なセキュリティ機能の追加の状況を第二部でご覧ください

マイナンバー対策セミナー（実践編） 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

マイナンバー対策セミナー（実践編）　「マイナンバー対策マニュアル」を利用した具体的な対策方法について