従業員からマイナンバーを取得するとき、またはそれを保管するときには、漏えいしないように安全に取り扱わなければなりません。安全管理のポイントは、全部で5つあります。
1.基本方針、取扱規程の整備
特定個人情報(マイナンバーを含む個人情報)の保護に関する基本理念を明確にし、法令順守・安全管理・問い合わせ・苦情等に関する方針を定めます。義務ではありませんが、作っておくと従業員への周知や研修に役立ちます。
取扱規程は、源泉徴収票や社会保険書類など特定個人情報を扱うときの業務マニュアルや事務フローを決めてまとめます。チェックリストなども作っておくとより役立ちます。
2.組織的安全管理措置
(1) 組織体制の整備
事務取扱担当者が複数いる場合に、責任者と事務取扱担当者を区分することにより、お互いのけん制効果が期待できます。
(2) 取扱規程等に基づき運用
取扱状況がわかるように、①業務日誌等に特定個人情報の入手・廃棄や書類作成日を記録 ②チェックリストに基づきチェックした記録を保存するなどします。
(3) 漏えい等への対応の整備
情報漏えい等の発生に備え、従業員から責任者への「ほうれんそう(報告・連絡・相談)」の体制をあらかじめ確認しておきます。
(4) 取扱状況の把握
責任者が定期的に特定個人情報の取扱状況を点検し、会社に報告することで会社が抱えるリスクを減らします。
3.人的安全管理措置
会社は、特定個人情報の留意事項について、それを取り扱う従業員に対し定期的に研修等を行います。また、個人情報の秘密保護に関する規定を就業規則に盛り込み、意識を徹底させることで、従業員の手による漏えいリスクを減らします。
4.物理的安全管理措置
漏えい防止のため、特定個人情報を保管する「管理区域」や事務作業を行う「取扱区域」を、他の場所と明確に区別します。別の部屋に出来ない場合は、パーテーションや棚などを設置し、他の従業員や来客者から目視で見られることを防ぎます。
特定個人情報を保管する棚やロッカーには施錠をし、盗まれないようにします。
特定個人情報を含む書類やデータを外に持ち出す場合は、パスワードの設定や、封筒に入れて鞄に入れるなど紛失・盗難を防ぐ措置を講じます。鞄は車内に置きっぱなしにしないよう(車上荒らしもあるので)、常に持ち歩くように注意します。
保管期限を過ぎた書類は速やかに削除・廃棄し、責任者はそれを確認するようにします。
5.技術的安全管理措置
特定個人情報を取扱うPC等の機器を特定し、そのPC等を扱う担当者を限定した上で、パスワード設定などをして他の者が見れないようにします。
PC等の機器と外部ネットワークの間にファイアウォール等を設置することで不正アクセスを遮断したり、機器にセキュリティ対策ソフトウェアを導入します。
特定個人情報をメール等で外部と送受信するときは、データの暗号化やファイルにパスワードを設定するなどの保護措置を実施します。
札幌の社労士(社会保険労務士)のブログ
