中小規模事業者における組織的・人的安全管理措置の特例

最終更新日時:2017年(平成29年)2月16日

このページでは中小規模事業者における組織的安全管理措置と人的安全管理措置の特例措置について学んでいきましょう。

組織的安全管理措置の特例

 特定個人情報ガイドラインによると企業はマイナンバー等、特定個人情報の適切な取り扱いのために、以下の5つの組織的安全管理措置を講じなければならないとされています。

①組織体制の整備
②取扱規定等に基づく運用
③取扱状況を確認する手段の整備
④情報漏えい事故に対応するための体制の整備
⑤取扱状況の把握と安全管理措置の見直し

 簡単にまとめてしまうと、①マイナンバー関連の事務を行う担当者や責任者、事務の範囲を決めて②③運用状況を確認出来るようログや記録をとり④万が一情報漏えい事故が発生してしまったときの対応策も練っておき⑤定期的に安全管理措置自体のブラッシュアップもしなさい、と言ったものになります。


 それぞれの具体的な手法や詳細情報はこちらをご覧になって頂くとして、中小規模事業者の場合、どのような特例的な措置があるかを以下に紹介していきましょう。

 まず、前提として中小規模事業者の場合は組織的な対応自体が困難な場合も多いことから組織的安全管理措置に関しては、大幅に手心が加えられています。

 まず①の組織体制の整備、については本来であれば、担当者や責任者の明確化や役割の明確化、万一の際の報告連絡体制の構築など事細かにガイドラインに記載されていますが、中小規模事業者の場合は、「事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが『望ましい』」と大幅にトーンダウンしています。組織体制の整備に関しては他の事業者と同様のレベルまでは求められてはいないようです。

 ②取扱規定等に基づく運用と③取扱状況を確認する手段の整備に関してはシステムログや利用実績等、様々な記録を残しておくよう求めていますが、中小規模事業者に対しては、「特定個人情報等の取扱状況の分かる記録を保存する」としており、業務日誌や記入済みのチェックリストの保存等、一般的な記録の保存体制が整っていれば事足りるものとされています。

 ④情報漏えい事故に対応するための体制の整備においては、他の事業者は万が一情報漏えい事故等が発生してしまった場合に備えて、適切かつ迅速に対応が出来るような体制を整えておき、原因の究明や再発防止策の検討なども求められていますが、中小規模事業者に対しては「情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。」とされています。情報漏えい事故の被害を最小限にとどめるためには初動が肝心なことは言うまでもありませんが、そのための連絡体制は整えておくよう求められています。

 ⑤取扱状況の把握と安全管理措置の見直し、に関しては定期的に安全管理措置を再評価、改善するための自主的な点検や他部署、外部の主体による監査などを実施するよう求めていますが、中小規模事業者に対しては「責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。」という程度に留めており、自主的な点検で十分としています。

人的安全管理措置の特例

 人的安全管理措置とはマイナンバー関連の事務を行う担当者・責任者に対する「監督」と「教育」を企業に求めているものになります。詳しくはこちらを一読頂くことにして、これに対する中小規模事業者に対する特例は特にありません。マイナンバー関連の秘密保持の事項を就業規則に盛り込むことや、定期的な研修を行うことなどが考えられるのですが、これらは取り立てて大きな負担になるものではないためです。