ステップで理解する企業のマイナンバー対策

マイナンバー対策の流れ「政府のガイドラインに沿って規定の策定や具体的な安全管理措置を行う」

マイナンバーを含む個人情報の取り扱いについては、「特定個人情報保護委員会」という内閣府外局の第三者機関により、「特定個人情報の適切な取扱いに関するガイドライン（事業者編）」というガイドラインが発行されており、各種規定や各種安全管理措置についての指針が示されています。
会計事務所や企業はそのガイドラインに沿った対応が求められています。

ガイドラインに沿った対応の進め方

最初にやるべきこと

基本方針の策定
- 関連法令やガイドラインなどの順守
- 安全管理措置に関する項目
- 質問及び苦情処理窓口の設定など
取扱規定策定

取扱規程等の策定
- マイナンバー管理段階ごとに、取扱方法／責任者
- マイナンバー取扱担当者およびその任務等について決める
- 取得→利用→保存→提供→削除／廃棄
取扱規定策定

まず、マイナンバーを取り扱うにあたってのルールを定める必要があり、大きく「基本方針」と「取扱規程」の2つがあります。「基本方針」はマイナンバーを含む特定個人情報の安全な取り扱いについての対応の方針を示すためのもので、大企業でも中小企業でも企業規模を問わず策定する必要があります。
また、従業員が100人を超える企業の場合は、マイナンバーの具体的な取り扱い方法を定める「取扱規程」を策定する必要があります。規定の策定の詳しい考え方や事例については、以下の関連書籍をご参照ください。

次に検討すべきこと

組織的安全管理措置
- 組織体制の整備
- システムログや利用実績等の運用状況確認／記録
- 情報漏えいに対する体制整備
- 監査等による管理の見直し
IT資産管理

アクセスログ管理

人的安全管理措置
- マイナンバー取扱担当者の監査
- マイナンバー取扱担当者の教育（留意事項を明確化し就業規則への盛り込みや研修など）
社内周知／研修

物理的安全管理措置
- 特定個人情報等を取り扱う区域への入退室管理
- 機器及び電子媒体等への盗難防止
- 電子媒体持出時の漏えい防止
- マイナンバーの削除／機器及び電子媒体の廃棄
入退室管理

盗難防止

情報漏えい対策
（持出時データ暗号化・持ち出し制御）

データ消去／廃棄

技術的安全管理措置
- 情報システムへのアクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセス防止
- 情報漏えい防止
アクセス認証／制御

情報漏えい対策
（社内データ暗号化・メール誤送信防止）

外部からの不正アクセス防止

不正プログラム（ウイルス）対策

詳しく見る

規定を定めたら、次に各種安全管理措置を行う必要があります。組織体制、教育/監督、施設/設備、情報システムの各内容について高いレベルでの安全管理対策が求められるため、企業としての負荷は大変高くなります。
MJSではこうした企業の負荷を軽減するため、多くの安全管理措置に一挙に対応するための情報セキュリティシステムをご提供しております。

各種管理措置に対応するサービス

「特定個人情報の適切な取り扱いに関するガイドライン（事業者編）」※における要件			MJSのセキュリティ商品での対応
項目	事業者における対応		対応内容	対応システム
組織的安全管理措置	特定個人情報の取扱状況のわかる記録を保存する	ログイン実績、アクセスログ等の記録、ログの記録	IT運用管理
物理的安全管理措置	電子媒体等を持ち出す場合の漏えい等の防止	アクセス制御（マイナンバーの記載された資料を印刷できる人を限定）	IT運用管理
		持ち出し禁止	IT運用管理
		持ち出しデータの保護強化	IT運用管理
技術的安全管理措置	外部からの不正アクセス等の防止	不正アクセス防止	IT運用管理
		不正アクセス防止	ファイアウォール
		不正ソフトウェアの有無確認	IT運用管理
		ソフトウェア等を最新状態にする	IT運用管理
		ウイルスの感染防止	ウイルス対策
		ウイルスの感染防止	ファイアウォール