【マイナンバー対策準備室】税務、社会保険、ITなど各分野の専門家のノウハウを結集し、民間事業者のマイナンバー制度対応を支援します。

ａ基本方針

特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。

中小事業者は、基本方針や取扱規程の作成は義務ではありませんが、従業員の教育などのために作成することが考えられます。

また、既存の業務マニュアル、業務フロー図、チェックリスト等に、マイナンバーの取扱いを加えることも考えられます。

また、規程を作成するしないにかかわらず、少なくとも、以下の事項に留意する必要があります。

・特定個人情報等の取扱い等を明確化する。

・事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。　

ｂ取扱規程

個人番号を取扱う事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない。

ａ組織体制の整備

安全管理措置を講ずるための組織体制を整備する。

ｂ取扱規程等に基づく運用

取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。

特定個人情報等の取扱状況の分かる記録を保存します。

例えば、次のような方法が考えられます。

・業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況等を記録する。

・取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。　

ｃ取扱状況を確認する手段の整備

特定個人情報ファイルの取扱状況を確認するための手段を整備する。

ｄ情報漏えい等事案に対応する体制の整備

情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。

ａ事務取扱担当者の監督

事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

ｂ事務取扱担当者の教育

事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。

ａ特定個人情報等を取り扱う区域の管理

特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する「管理区域」及び特定個人情報等を取り扱う事務を実施する「取扱区域」を明確にし、物理的な安全管理措置を講ずる。

ｂ機器及び電子媒体等の盗難等の防止

管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。

ｃ電子媒体等を持ち出す際の漏えい等防止

特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。

ｄ個人番号の削除、機器/電子媒体等廃棄

個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。

ａアクセス制御

情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。

担当者以外の者に勝手に見られないようにすることが大切です。

具体的な対応としては、

・ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。

・ 機器に標準装備されているユーザー制御機能（ユーザーアカウント制御）により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

ｂアクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

ｃ外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。

インターネットにつながっているパソコンで作業を行う場合の対策です。

例えば、次のような方法が考えられます。

・ウイルス対策ソフトウェア等を導入する。

・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態にする。

・データの暗号化又はパスワードによる保護等を行う。

ｄ情報漏えい等の防止

特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。