中小規模事業者における物理的・技術的安全管理措置の特例

最終更新日時:2017年(平成29年)2月16日

 このページでは中小規模事業者における物理的安全管理措置と技術的安全管理措置の特例措置について学んでいきましょう。

物理的安全管理措置の特例

 物理的安全管理措置とは、マイナンバー関連の事務取扱担当者以外の者がそもそもマイナンバーと接触することが出来ないように施すことを指します。ガイドラインでは具体的に以下の4つの施策を挙げています。

①特定個人情報等を取り扱う区域の管理
②機器及び電子媒体等の盗難・紛失の防止
③電子媒体等を持ち出す場合の漏えい等の防止
④マイナンバーの削除、書類や機器、電子媒体等の廃棄と記録の保存

 簡単にまとめてしまうと①マイナンバーを扱える場所を限定して②マイナンバーを記載した書類やパソコン自体の盗難を防げるようにして③外に持ち出さなければいけない場合の情報漏えい対策もして④最後に廃棄する場合も抜かりなく、といったところです。

 それぞれ具体的な手法の紹介や詳細情報はこちらを読んで頂ければ理解に難くないと思います。

 物理的安全管理措置に関する中小規模事業者への特例措置としては、①特定個人情報等を取り扱う区域の管理と②機器及び電子媒体等の盗難・紛失の防止、に関しては特例が認められていません。とはいえ、もともとこちらは企業規模に合わせて対応することが容認されているため、ガイドラインではICカードによる入退室管理システムの導入などが紹介されていますが、中小規模事業者の場合、机や間仕切りの配置を変えて簡単に覗きこんだり出来ないようにするだけでも十分に情報漏えい防止対策になりますので工夫を凝らした検討をしてみましょう。

 ③電子媒体等を持ち出す場合の漏えい等の防止については、万が一電子媒体や書類を出先で紛失してしまったとしても簡単には情報漏えいに繋がらないようにデータの暗号化等を求めているものになりますが、中小規模事業者の場合は暗号化とまではいかず、パスワードの設定や封筒・カバン等に入れて持ち運び紛失・盗難を防止するよう注意を払えばよいとされています。

④マイナンバーの削除、書類や機器、電子媒体等の廃棄と記録の保存。
法定保管期限の過ぎた書類の処分に関しても削除・廃棄したことを責任ある立場のものが確認することを求めている点では同じですが、他の事業者に求められている焼却・溶解等の措置まで取る必要は無いとしています。

技術的安全管理措置の特例

 技術的安全管理措置とは外部からの不正アクセスの防止や、担当者以外の従業員がマイナンバーを含むデータにアクセスできないようにアクセス制御をかける措置のことです

ガイドラインには技術的安全管理措置として以下の4つを挙げています。
①アクセス制御
②アクセス者の識別と認証
③外部からの不正アクセス等の防止
④情報漏えい等の防止

 簡単にまとめてしまうと①マイナンバー関連の事務取扱担当者以外の者が特定個人情報ファイルにアクセスできないようにして②ユーザーIDやパスワードで本当に担当者かを判別できるようにして③セキュリティソフトなどで外部からの不正アクセスを防止して④外部にマイナンバー関連の情報を送信しなければならない場合も暗号化などで情報漏えいを防止するようにしなさい、ということです。

 細かな情報はこちらに譲るとして中小規模事業者に対する特例措置について見ていきたいと思います。

 技術的安全管理措置に関して③の不正アクセスの防止と④の情報漏えい等の防止に関する特例措置はありません。近年の情報漏えい事故もウィルス感染が原因のものも多く含まれていることを鑑みて不正ソフトウェア対策には手心を加えるわけにはいかないようです。ただし①アクセス制御と②アクセス者の識別と認証に関しては、他の事業者ではマイナンバー関連の事務を処理するシステムにアクセス出来る者と、そのアクセス可能なデータ内容に関する制限をかけることを求められていますが、中小規模事業者の場合は「特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい」「機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい」、と努力義務とされており、標準装備されている機能で対処が出来るため大きなコストをかけずに済むように配慮されています。