制度のスタートが2016年1月だからといって必要以上に早急なシステム化を焦る必要はないというわけだが、マイナンバーは収集から保管、利用、廃棄に至るまで、企業が情報を持つ限り全てのプロセスで安全を確保しなければならない。
2015年11月から収集を始めるとすれば、安全管理措置はそこから始めなければならない。準備期間はあと数カ月しかない。できるところから早急に着手していく必要があろう。
マイナンバー法のガイドラインでは、次の安全管理措置が求められている。なお、従業員100人以下の中小規模事業者には軽減措置があるがここでは省略する。
このうち、4〜6についてここで簡単に説明しよう。
求められているのは事務取扱担当者の監査と教育だ。定期的な研修や、特定個人情報など秘密保持に関する事項を就業規則などに盛り込むことなどが例示されている。
「特定個人情報等を取り扱う区域の管理」「機器および電子媒体等の盗難等の防止」「電子媒体等を持ち出す場合の漏えい等の防止」「個人番号の削除、機器および電子媒体等の廃棄」という物理的安全管理措置は義務となっている。
特定個人情報等を取り扱う区域の管理
マイナンバーを取り扱うIT機器と事務作業を行う区域のゾーンを他の業務区域と明確に切り離し、IT機器を管理する区域(「管理区域」)では入退室を厳密に管理することになる。また、事務作業を行う区域(「取扱区域」)では壁または間仕切り等の設置及び座席配置の工夫などを行う必要がある。
機器および電子媒体等の盗難等の防止
特定個人情報が入ったPCやUSBメモリ、光学ディスクなどをセキュリティロッカー、鍵付きキャビネットに保管したり、PCなどをセキュリティワイヤーで固定することなどが対策になる。
電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報が入ったPCや機器を管理、取り扱いのために設けられた区域外(社屋外という意味ではない)に移動するときの注意ポイントだ。これには、データを暗号化する、書類の場合は必ず封緘するか、目隠しシートを貼付する、搬送するときは施錠できる容器で運ぶ、といった対策がある。DLPツールや暗号化ツールによって書き出し時に強制暗号化を行う機能を利用すれば、ルール順守を徹底できよう。
個人番号の削除、機器及び電子媒体等の廃棄
マイナンバーは利用の必要がなくなり、所管法令などで規定された保存期間を経過した場合には、できるだけ速やかに復元できない手段で削除または廃棄する必要がある。また削除や廃棄の記録を保存しなければならない。この作業を外部委託した場合は、委託先が確実に削除や廃棄を行ったことを証明書などで確認する。
実はこれが個人情報保護法との大きな違いで、情報廃棄のプロセスはこのために新たに設計しなければならないだろう。個人ごとに削除・廃棄のタイミングはバラバラになるのが普通であり、アルバイトなどが多数勤務する企業では、システム化しなければ対応が非常に困難になりそうだ。
なお、「復元できない手段」には2種類あり、一般的にいうデータ削除は「容易に復元できない手段」、データの保存領域にダミーデータを上書きするのは「復元不可能な手段」といわれる。
通常のシステム運用時には当該データを削除するだけでよいのだが、特定個人情報が入った機器や媒体を廃棄するときには、データを上書きする完全消去が必要だ。これはPCの専用ソフトなどで行えるが、その手間が惜しい場合は外部業者が消去証明書を提供してくれるデータ完全消去ソリューションを利用するとよい。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。