組織的安全管理措置とは?

最終更新日時:2016年(平成28年)11月17日

 4つの安全管理措置のうちの1つ、組織的安全管理措置とは簡単に言ってしまうとマイナンバーを取り扱う担当者や責任者、事務の範囲をきちんと明確にし、その上で利用実績やシステムログなどを記録することが出来るような組織体制を築き上げることを指しています。本ページではこの組織的安全管理措置についてじっくりと勉強していきたいと思います。

組織的安全管理措置の概要

 組織的安全管理措置とは、企業の体制を整えることで情報漏えい事故を未然に防ぐ、組織体制の整備のことを言います。具体的にはマイナンバー関連の資料やデータを取り扱う責任者を明確にすることや、マイナンバー関連の事務を複数の部署にまたがって処理をする場合は、それぞれの部署が担当する事務の範囲を明確にしておき、問題が生じた際の責任の所在をはっきりとさせておくことなどが挙げられます。さらに、実際に漏えい事故が発生した場合の連絡系統や指揮系統も明らかにしておくことや、マイナンバー関連の情報の利用状況や、データの持ち出し状況、廃棄に関する情報などを適切に記録を残す体制を築いていく必要があります。その上で安全管理措置の見直しや改善にも取り組んでいくことが重要になっていきます。

5つの組織的安全管理措置

 特定情報ガイドラインによると企業はマイナンバー等、特定個人情報の適切な取り扱いのために、以下の5つの組織的安全管理措置を講じなければならないとされています。

①組織体制の整備
②取扱規定等に基づく運用
③取扱状況を確認する手段の整備
④情報漏えい事故に対応するための体制の整備
⑤取扱状況の把握と安全管理措置の見直し

簡単にまとめてしまうと、①マイナンバー関連の事務を行う担当者や責任者、事務の範囲を決めて②③運用状況を確認出来るようログや記録をとり④万が一情報漏えい事故が発生してしまったときの対応策も練っておき⑤定期的に安全管理措置自体のブラッシュアップもしなさい、と言ったものになります。

それぞれ具体的な手法の紹介も交えて詳細に見ていきましょう。


①組織体制の整備

 組織体制の整備においては事務取扱担当者の選任や、責任者、事務範囲の明確化などを行います。以下にその具体例を挙げておきますので参考にして下さい。


②「取扱規定等に基づく運用」
③「取扱状況を確認する手段の整備」


 ②③はセットで運用状況や取扱状況の確認のためにシステムログや利用実績等、様々な記録を残しておくことを指しています。具体的に記録しておくべき項目としては以下のようなものがあります。
なお、これらの記録にはマイナンバー自体を一緒に記してはいけません。


④情報漏えい事故に対応するための体制の整備

 ④は情報漏えい等の事故が発生してしまった場合に適切かつ迅速に対応するための体制を整備することを指しています。マイナンバー法においては情報漏えい事故等が発生してしまった場合、その事実の公表を義務付けてはいません。しかし、漏えい事件が発生した場合、二次被害の防止や類似事案の発生防止等の観点から事案に応じて適切に判断し、事実関係と再発防止策を早急に公表することが重要です。以下に具体的な対応例を挙げておきます。


⑤取扱状況の把握と安全管理措置の見直し

 こちらでは特定個人情報等の取扱状況を把握し、定期的に安全管理措置を再評価、改善を行うことが重要とされています。

以上が組織的安全管理措置の詳細になります。次ページは人的安全管理措置について学んでいきたいと思います。