中小規模事業者における安全管理措置の特例一覧

最終更新日時:2017年(平成29年)2月16日

 ガイドライン等で示される中小規模事業者に認められている安全管理措置の特例は以下の表のようになっています。

中小規模事業者における基本方針・取扱規定の策定の特例

区分 安全管理措置の内容 中小規模事業者における特例
基本方針の策定(義務ではない) 特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である ・特例なし。作ってあれば従業員の教育に役立つ
取扱規定等の策定 事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない(義務) ・義務ではない。
・既存の業務マニュアルや業務フロー、チェックリストにマイナンバーの取扱いを加えることも考えられる。
・事務取扱担当者の変更の際に、確実な引継ぎを行い責任ある立場のものが確認する。

中小規模事業者における組織的安全管理措置の特例

区分 組織的安全管理措置 中小規模事業者における特例
組織体制の整備 安全管理措置を講ずるための組織体制を整備する 事務取扱担当者が複数いる場合、責任者と担当者を区分することが「望ましい」
取扱規定等に基づく運用 取扱い規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する マイナンバーを含む特定個人情報等の取扱状況のわかる記録を保存する。
取扱状況を確認する手段の整備 特定個人情報ファイルの取扱状況を確認するための手段を整備する。なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。 同上
情報漏えい事故に対応するための体制の整備 情報漏えい等の事案の発生、又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係および再発防止昨冬を早急に公表することが重要である。 情報漏えい等事案の発生に備えて、従業者から責任ある立場のものに対する報告連絡体制等をあらかじめ確認しておく
取扱状況の把握と安全管理措置の見直しの見直し 特定個人情報等の取扱い状況を把握し、安全管理措置の評価、見直しおよび改善に取り組む 責任ある立場のものが、特定個人情報等の取り扱い状況に付いて、定期的に点検を行う

中小規模事業者における人的安全管理措置の特例

区分 人的安全管理措置 中小規模事業者における特例
事務取扱担当者の監督 事業者は特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う 特になし
事務取扱担当者の教育 事業者は、事務取扱担当者に特定個人情報等の適正な取扱を周知徹底するとともに適切な教育を行う 特になし

中小規模事業者における物理的安全管理措置の特例

区分 物理的安全管理措置 中小規模事業者における特例
特定個人情報等を取り扱う区域の管理 特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(管理区域)および特定個人情報等を取り扱う事務を実施する区域(取扱区域)を明確にし、物理的な安全管理措置を講ずる 特になし
機器及び電子媒体等の盗難・紛失の防止 管理区域および取扱区域における特定個人情報等を取り扱う機器、電子媒体および書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる 同上
電子媒体等を持ち出す場合の漏えい等の防止 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易にマイナンバーが判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。「持ち出し」とは、特定個人情報等を管理区域、または取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある。 マイナンバーを含む特定個人情報等が記録された電子媒体または書類等の移送に当たっては、パスワードの設定、封筒に入れてカバンに入れて搬送する等、盗難・紛失を防ぐための安全な方策を講ずる
マイナンバーの削除、書類や機器、電子媒体等の廃棄と記録の保存 マイナンバーもしくは特定個人情報ファイルを削除した場合、または電子媒体等を廃棄した場合には、削除または廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認する。 マイナンバーを含む特定個人情報等を削除・廃棄したことを責任ある立場のものが確認する。

中小規模事業者における技術的安全管理措置の特例

区分 技術的安全管理措置 中小規模事業者における特例
アクセス制御 情報システムを使用してマイナンバー関係の事務を行う場合、事務取扱担当者および当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う。 ・マイナンバーを含む特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが「望ましい」
・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが「望ましい」
アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有するものであることを識別した結果に基づき認証する。 同上
外部からの不正アクセス等の防止 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。 特になし
情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。 同上