Archives

マイナンバーその9

マイナンバー第9回目です。

今まで取り上げててきたマイナンバーですが、安全管理措置について中小規模事業者は特例があります。

中小規模事業者とは、従業員の数が100人以下の事業者をいいます。
ただし、次に掲げる事業者を除きます。

  • 個人番号利用事務実施者
  • 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
  • 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
  • 個人情報取扱事業者​

本則と特例の対比表は以下の通りです。

 安全管理措置の内容(本則)  中小規模事業者  備考
A 基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。
基本方針の策定は義務ではありませんが、作ってあれば従業員の教育に役立ちます。
B 取扱規程等の策定
事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない。
・特定個人情報等の取扱い等を明確化する。
・事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
業務マニュアル、業務フロー図、チェックリスト等に、マイナンバーの取扱いを加えることも考えられます。
C 組織的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければならない。
a 組織体制の整備
安全管理措置を講ずるための組織体制を整備する。
・事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい けん制効果が期待できる方法です。
b 取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。
・特定個人情報等の取扱状況の分かる記録を保存する。 例えば、次のような方法が考えられます。
・業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況等を記録する。
・取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。
c 取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備する。
なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。
・特定個人情報等の取扱状況の分かる記録を保存する。
d 情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。
・情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。  業務遂行の基本、「ほうれんそう」(報告・連絡・相談)を確認しましょう。
e 取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。
・責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。  事業者のリスクを減らすための方策です。
D 人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければならない。
a 事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。
従業員の監督・教育は、事業者の基本です。従業員にマイナンバー4箇条を徹底しましょう。
b 事務取扱担当者の教育
事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。
E 物理的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない。
a 特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。
事業者の規模及び特定個人情報等を取り扱う事務の特性等によりますが、例えば、壁又は間仕切り等の設置及び覗き見されない場所等の座席配置の工夫等が考えられます。
b 機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。
事業者の規模及び特定個人情報等を取り扱う事務の特性等によりますが、例えば、書類等を盗まれないように書庫等のカギを閉める等が考えられます。
c 電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。
「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある
・特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 置き忘れ等にも気を付けましょう。
d 個人番号の削除、機器及び電子媒体等の廃棄
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
・特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。 事業者のリスクを減らすために大切です。
F 技術的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。
a アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
担当者以外の者に勝手に見られないようにしましょう
b アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
c 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
インターネットにつながっているパソコンで作業を行う場合の対策です。例えば、次のような方法が考えられます。
・ウイルス対策ソフトウェア等を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態にする。
d 情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
インターネットにつながっているパソコンで作業を行う場合の対策です。例えば、データの暗号化又はパスワードによる保護等が考えられます。

 

マイナンバーその8

マイナンバー第8回目です。
今回は、「4、業務契約書の作成・見直し」です。

事業者の多くは、年末調整などの事務処理を税理士事務所などに委託していることと思います。
マイナンバー制度では、特定個人情報等の取扱いに係る規定を、業務契約書に記載する必要があります。

また、既に業務契約を締結している場合は、その契約書に特定個人情報の取扱いに係る規定を設けるか、別途、覚書等の書面を取り交わしておく必要があります。

    (例)契約内容の見直し項目

  • 秘密保持義務
  • 事業所内からの特定個人情報の持出しの禁止
  • 特定個人情報の目的外利用の禁止
  • 再委託における条件
  • 漏えい事案等が発生した場合の委託先の責任
  • 委託契約終了後の特定個人情報の返却又は廃棄
  • 従業者に対する監督・教育
  • 契約内容の遵守状況について報告を求める規定 等

以上で、マイナンバー制度の事前準備は終了です。

次回は、中小規模事業者の特例を取り上げます。

MERSコロナウイルス

韓国で、MERSコロナウイルスの感染者が増えていて、既に死亡者も出ているようです。

国内感染者の出現も懸念されるところですが、そもそもMERSとは?

厚生労働省のWEBページに解説がありましたので、いくつか紹介します。

  1. MERS(マーズ))とは?
    中東呼吸器症候群のこと。主として中東地域で患者が報告されたことからこう呼ばれる。
    重症急性呼吸器症候群(SARS(サーズ))とは異なる病気。
  2. 症状は?
    発熱、せき、息切れ、下痢など。
    高齢者や糖尿病、慢性肺疾患、免疫不全などの基礎疾患のある人で重症化する傾向あり。
  3. 感染経路は?
    正確にはまだわかっていない。
  4. 治療法は?
    特効薬はない。対症療法のみ。

厚生労働省:中東呼吸器症候群(MERS)に関するQ&Aより

年金情報の流失

年金情報の流失が問題視されています。

相次ぐ報道では、その管理体制の杜撰さが指摘されています。

年金は社会保険制度の1部ですので、まさにこれから始まるマイナンバー制度の主軸であり、その運用への不安材料となっているようです。

当ブログでは、マイナンバー制度を取り上げている途中ですが、そこでいう安全管理措置が不充分というより、未対応であったというほうが正しいのかもしれません。

数例をあげると、

  • 厚生労働省の審議会部会による評価で、個人情報保護の取り組みに関して5段階で下から2番目の「C評価」を5年連続で受けていた
  • 流失したファイルのうち、内規で定められていなのにもかかわらず、パスワードがかけられていたものは、1%に満たなかった

など、情報管理を軽視していたことが伺えます。

日本年金機構だけでなく、同種のウイルスに感染したか、またはその疑いがあるシステムは300箇所に上るとのニュースもありました。

サイバー攻撃から身を守るためには、セキュリティレベルの向上が必須となります。

その一助として、マイナンバー制度の安全管理措置を参考に対策を施すことも有効ではないかと思います。

マイナンバーその7

マイナンバー第7回目です。

今回は、(3)技術的安全管理措置と(4)人的安全管理措置です。

(3)技術的安全管理措置

技術的安全管理措置では、情報システムの管理等を行います。

  1. 情報システムのアクセス制御
        (例)アクセス制御の方法

      • 個人番号と紐付けて使用する情報の範囲をアクセス制御により限定する
      • 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する
      • ユーザーID に付与するアクセス権により、使用者を事務取扱担当者に限定する等

    事務取扱担当者の識別方法としては、システムにおけるユーザーID 等(ユーザーID・パスワード、磁気・IC カード、生体情報等)の利用が考えられます。

      (例)ユーザーID の利用方法

    • ユーザーID は共用しない
    • 類推されやすいものは避ける
      (例)パスワードの利用方法

    • 定期的に変更する
    • 類推されやすいものは避ける
    • アカウント作成時に付与されたパスワードは使用しない
    • 可能な限り文字列を長くする(8文字以上推奨)
  2. アクセス者の識別と認証特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別し、認証する必要があります。
    事務取扱担当者の識別方法としては、システム又は機器におけるユーザーID 等(ユーザーID・パスワード、磁気・IC カード、生体情報等)が考えられます。
  3. 不正アクセス等からの保護
      (例)不正アクセス・不正ソフトウェアからの保護

    • 機器やソフトウェア等に標準装備されている自動更新機能等の活用
    • セキュリティ対策ソフトウェア(ウィルス対策ソフトウェア)等の導入
    • ファイアウォール等の設置
    • ログ等の定期的な分析 等
  4. データの情報漏えい等の防止インターネット等により外部に送信する場合、情報漏えい等を防止する措置を講じる。
    方法としては、以下のような方法が考えられます。

      (例)情報漏えいの防止策

    • データのパスワードによる保護
    • データの暗号化
    • 通信経路の暗号化 等

    情報漏えい等事案が発生した場合の対応方法については、取扱規程等に規定して適切に対応しましょう。

(4)人的安全管理措置

人的安全管理措置では、事務取扱担当者の監督・教育を行います。

  1. 事務取扱担当者に対する教育の徹底
      (例)教育の手法
  • 定期的な研修の実施
  • 資料の提供 等
  • 事務取扱担当者の監督番号法及び個人情報保護法において、事業者には従業者の監督義務が課されています。
    ※ 従業員等は、担当する事務以外の特定個人情報等を取り扱うことができない点に留意が必要です。
  • 特定個人情報等についての秘密保持に関する事項を就業規則等に追加従業員等には、雇用契約の締結の際(既に雇用契約のある者は番号法施行時)に、誓約書等により、特定個人情報の適正な取扱いについて誓約させます。

これで「3、安全管理措置」は終了です。次回は「4、業務契約書の作成・見直し」です。

マイナンバーその6

今回は、(2)物理的安全管理措置です。
物理的安全管理措置では、特定個人情報等を取り扱う区域の管理等を行います。

  1. 取扱区域・管理区域を確認し、レイアウト等の見直し
    事務取扱担当者が限定されている場合には、原則として、取扱区域及び管理区域を他の領域と区分します。
    取扱区域は、事務取扱担当者の事務作業を行う領域となります。
    事務取扱担当者以外からできる限り隔離する等の工夫が必要です。
    (例)隔離の方法
    ・座席配置を工夫し、事務取扱担当者以外の往来が少なくなるよう配置
    ・机やパソコンの画面を事務取扱担当者以外に後ろから覗き見される可能性が低くなるよう配置
    ・間仕切りを設ける 等

    管理区域は、特定個人情報等を取り扱う情報システム、機器等を管理する領域となります。
    管理区域を区分している場合には、区域への入退室等を管理します。
    機器にて管理している場合は、施錠できるキャビネット等に保管するか、セキュリティワイヤー等にて固定して管理します。
    (例)入退室等管理の方法
    ・IC カード、ナンバーキー等による入退室管理
    ・管理区域へ持ち込む、又は管理区域から持ち出す機器の制限
    ・管理区域の鍵の管理 等
    事務所の事務作業領域に管理区域が含まれる場合、事務所の鍵の管理・施錠の確認を確実に行う必要があります。
  2. 機器・書類等を適正な管理・保管
    磁気媒体等又は書類等は、施錠できるキャビネット、書庫、デスク等に保管します。
    機器等は、セキュリティワイヤー等により固定するか、施錠できるキャビネット等に保管します。
    磁気媒体等又は書類等を取扱区域又は管理区域の外へ持ち出す場合、外部から持ち帰る場合には、紛失・盗難等に留意します。
    (例)磁気媒体等又は書類等の持出しの安全方策
    磁気媒体等の場合
    ・パスワードによる保護
    ・持ち出しデータの暗号化
    ・施錠できる搬送容器の使用 等
    書類等の場合
    ・封入、封緘
    ・目隠しシールの貼付等
    特定個人情報等が記録された書類等を郵送する場合は、簡易書留等、荷物の追跡サービスが付加されている方法をとるとよいでしょう。
    特定個人情報等の持出し・発送記録は、執務記録等に記録します。
  3. 保存期間を過ぎた特定個人情報等は適切な廃棄
    事務処理の必要がなくなった場合で保存期間を経過した場合には、個人番号をできるだけ速やかに復元できない手段で廃棄又は削除しなければなりません。
    (例)廃棄・削除の手法
    書類の場合
    ・民間の廃棄システム・サービス等を利用した焼却・溶解と廃棄証明等の記録
    ・復元できない程度にマスキング
    ・復元できない程度に細断できるシュレッダーを利用 等
    機器・電子媒体等の場合
    ・専用データ消去ソフトウェアの利用
    ・物理的な破壊
    ・特定個人情報ファイル中の該当データを削除(ゴミ箱からも完全削除)
    保存期間を経過した書類等は廃棄することを念頭に、書類等の保存・整理を行います。
    ※ 個人番号部分を復元できない程度にマスキング又は削除した上で保管を継続することは可能です。

マイナンバーその5

マイナンバー第5回目です。

今回は、「3、安全管理措置」を取り上げます。
特定個人情報の安全管理措置は大別すると以下の通りとなります。
(1)組織的安全管理措置…事務取扱担当者及び責任者の明確化等
(2)物理的安全管理措置…特定個人情報を取り扱う区域の管理等
(3)技術的安全管理措置…情報システムの管理等
(4)人的安全管理措置……事務取扱担当者の監督・教育

各項目を見ていきましょう。

(1)組織的安全管理措置

  1. 個人番号取扱事務の責任者を定め、その役割を確認
  2. 事務取扱担当者を明確化し、その役割を確認
    複数の部署で取り扱う場合には、各部署の任務の分担及び責任の明確化を図る必要があります。
  3. 個人番号の取扱状況を確認する手段を整備
    管理簿を整備。なお、管理簿に特定個人情報等は記載しないようにします。

      (例)管理簿の記載項目

    • 特定個人情報ファイルの種類、名称
    • 責任者、取扱部署
    • 利用目的
    • 削除・廃棄状況
    • アクセス権を有する者 等

    会計ソフト・情報システムを導入している場合は、システムログ等を記録し、定期的に確認します。
    システムログ等は、定期的に出力し、ファイルに保存しておきます。

      (例)システム上の記録項目の例示

    • システムの利用状況(利用者、ログイン実績、アクセスログ等)の記録
    • 特定個人情報ファイルの利用・出力状況の記録
    • 特定個人情報ファイルの削除・廃棄状況の記録 等
  4. 取扱規程等の運用状況を確認する手段を整備
    取扱規程等に基づき、個人番号取扱事務が適正に行われているかをチェックリストの活用などで確認
    取扱規程等に基づく運用状況を記録・確認するための手段としては、執務記録を付ける、業務処理簿や業務日誌等へ記録することが考えられます。
    なお、執務記録等には、特定個人情報は記載しないようにします。

      (例)執務記録の記載項目

    • 作業日
    • 特定個人情報ファイルの種類、書類名等
    • 作業内容
    • 取扱担当部署
    • 担当者
    • 利用目的
    • 削除・廃棄状況
    • アクセス権を有する者 等

    執務記録等は、責任者の確認欄を設け、運用状況の適正性を定期的に確認します。
    ※ 過去の執務記録等は、ファイルに綴じる等して保存しておきます。
    特定個人情報等を外部の廃棄システム・サービス等を利用して廃棄した場合は、これを証明する廃棄証明書又は記録等を保存しておきます。

  5. 情報漏えい等事案が発生した場合又は兆候を把握した場合の対応
    次のような対応方法を定めておく必要があります。

      (例)情報漏えい等事案が発生した場合等の対応

    • 責任者への報告
    • 事実関係の調査及び原因の究明
    • 影響を受ける可能性のある本人への連絡
    • 特定個人情報保護委員会及び主務大臣等への報告
    • 再発防止策の検討及び決定
    • 事実関係及び再発防止策等の公表 等
    • 保険等への加入についても検討
  6. 特定個人情報ファイル等の取扱状況及び取扱規程等の運用状況を定期的に確認
    特定個人情報ファイル等の管理簿及び執務記録等を保存し、定期的に確認します。
    安全管理措置等を見直し、必要がある場合には改善するように努めます。

次回は、「3.安全管理措置の(2)物理的安全措置」です。

マイナンバーその4

マイナンバー第4回目です。

今回は、「2.基本方針・取扱規定等の策定」を取り上げます。

  1. 基本方針を策定
    特定個人情報の保護に関する基本理念を明確にし、法令遵守・安全管理・問合せ・苦情相談等に関する方針を定める。
    なお、基本方針の策定は義務付けられてはいませんが推奨されています。

      (例)基本方針に定める項目

    • 事業者の名称
    • 関係法令・ガイドライン等の遵守
    • 安全管理措置に関する事項
    • 質問及び苦情処理の窓口 等
  2. 取扱規程等を策定
    源泉徴収票や支払調書の作成等の事務で特定個人情報等を取扱う場合のマニュアルや事務フローなどの手順を示した文書で、従業員が容易に参照できるようにする必要があります。
    個人番号を取り扱う事務、特定個人情報等の範囲、事務取扱担当者等を明確にし、事務の流れを整理して、特定個人情報等の具体的な取扱いを定めます。
    取扱規程等には、管理段階ごとに取扱方法、責任者・事務取扱担当者及びその任務について定めることが考えられ、また、具体的な事項としては、安全管理措置を織り込むことが重要です。

      (例)取扱規程等に定める項目
      個人番号のa取得、b利用、c保存、d提供、e削除・廃棄を行う段階ごとに

    • 取扱方法
    • 責任者・事務取扱担当者
    • 任務等
    • 安全管理措置 等

既存の基本方針又は取扱規程等がある場合は、特定個人情報等の取扱い等について追加する必要があり、その規程の内容を見直す必要があります。

次回は、「3.安全管理措置」です。

悪質自転車運転者に講習義務

本日6月1日から悪質な自転車運転者への対策が盛り込まれた改正道路交通法が施行されます。

主な内容は、一定の危険な違反行為をして2回以上摘発された自転車運転者(悪質自転車運転者)は、公安委員会の命令を受けてから3ヵ月以内の指定された期間内に講習の受講が義務付けられました。

この講習を受けないと5万円以下の罰金が課されます。

なお、違反行為とは次の行為を指します。

  1. 信号無視
  2. 通行禁止違反
  3. 歩行者用道路徐行違反
  4. 通行区分違反
  5. 路側帯通行時の歩行者通行妨害
  6. 遮断踏切立入り
  7. 交差点安全進行義務違反等
  8. 交差点優先車妨害等
  9. 環状交差点の安全進行義務違反
  10. 指定場所一時不停止等
  11. 歩道通行時の通行方法違反
  12. ブレーキ不良自転車運転
  13. 酒酔い運転
  14. 安全運転義務違反

カセットテープ

カセットテープの需要がにわかに伸びているとのことです。

デジタル時代といわれてますが、操作が単純で電源を切っても中途再生が可能などの利便性の高さがカセットテープを使用していた世代には使いやすく、若者世代にも受けているようです。

また、記録用の磁気テープも注目を浴びています。

主な利点はコストの安さだそうですが、記録容量も多く、保管も手軽ため、まさにバックアップメディアとしての利用価値は高いようです。

磁気テープの記録の原理は当初と変わっていないようですが、信頼性や安心感に繋がっているみたいですね。

 

1 103 104 105 106

さいたま市緑区の税理士 渡辺税務会計・KWAT

埼玉県さいたま市緑区東浦和1-8-18-303

営業時間 平日9:00~18:00

関東信越税理士会浦和支部所属

お問い合わせはこちらから

免責事項

当サイトに掲載する情報に関しまして、細心の注意、調査を行って掲載しておりますが、当サイトのすべてに関して、誤りや変更などに伴うくい違いが含まれる場合もございます。従いまして、これらの正確性および完全性を保証するものではありません。当サイトで公開している情報もしくは内容をご利用されたことで、利用者もしくは第三者の方が直接又は間接的に被害を生じた場合について、当人は一切責任を負うものではありません。