組織的安全管理措置とは、マイナンバー制度を運用する組織としての役割分担、取扱規程等を定める、取扱状況を確認する方法、情報漏えいが発生した場合の対応策、安全管理措置の見直しのやり方などを定めます。
マイナンバーの取扱の方法を規程として定めることをお勧めします。
中小規模事業者の特例が設けてあり、その中では本則で定めている安全管理措置よりも緩やかな管理でもよいとされていますが、適切に運用を行おうとするとやはりきっちりとしたルールが必要です。すでに、個人情報取扱規程を定めている企業では、その規定に特定個人情報の取扱規程を盛り込み調整することでOK。
まず、自社での役割分担を定めましょう。
事務取扱責任者は誰ですか、
事務取扱責任部門はどこの部署ですか、
事務取扱担当者は誰ですか
番号法は責任の所在だけでなく事務担当者を定めることを求めています。マイナンバーは事務取扱担当者以外の人には(極力)目に触れないようにすることとなっています。例えば、総務部の人であってもマイナンバーの記載された書類の扱いは事務取扱担当者しかできません。
また、事務取扱担当者であっても自分が与えられた職務に該当する書類しか扱ってはいけないとされています。つまり、経理の人はおおむね「税に関する手続きの書類」しか扱ってはならず、(社会保険を人事の事務取扱担当者が担当することになっているなら)社会保険の書類は扱えないのです。
取扱状況を確認する方法とは、
定期的に(期間としては毎年が妥当でしょう)マイナンバーの運用手続きを「内部監査」するということになります。
ISMSやPマークの認証を受けている企業では、認証機関の更新手続きで第三者の監査が入るでしょうが、そうでない企業さんでは自主監査になるでしょう。監査するには、運用ルールが準備されており、それが守られていること…例えば、管理帳票が正しく記録されているか、管理帳票と資産の状況が合致しているかなどになるので、ここでもやはり規程を定めておくことが前提になるでしょう。
情報漏えいが発生した場合の手続きとは
第一報を「誰が」「いつまでに」「誰に」「どのように」連絡を行うのか、
第一報の連絡の後は、どのようなルートで情報が流れて、それぞれ連絡を受けた部署(またはマネジャー)が、何を行うか、
最終的には再発防止策をどのように定めて、それを徹底するかなどを決める必要があります。
監督官庁への報告は今後は、個人情報保護委員会への報告となります。
安全管理措置の見直し
取扱状況を確認した際に、適切に運用がされていないと判断されたら安全管理措置の修正・見直しが必要です。
つまり、ここでもPDCA(マネジメント)サイクルを回しましょう・・・となります。