安全管理措置

取り扱う個人情報が「個人データ」に該当する場合には、「安全管理措置」を実施することが必要になります。

「個人データ」とは、個人情報のうち特定の個人情報を検索できるように体系的に構成したものをいい、いわゆるデータベースです。
このデータの漏洩、滅失又は毀損の防止等のために必要かつ適切な措置を講じなければなりません。
この「必要かつ適切な措置」とは、各省庁のガイドライン等において示されています。

では安全管理措置とはどのようなものなのでしょうか。これは4つの側面に分類されます。

1. 組織的安全管理措置
• 個人情報保護管理者の設置、部署や従業員の役割や責任の明確化、監査の実施体制の整備などの組織体制の整備
• 取扱規定等の整備と運用
• 事故や違反発生時の対応手順の整備　など
2. 人的安全管理措置
• 雇用契約や委託契約における非開示契約の締結
• 従業者に対する内部規定等の周知や教育訓練の実施　など
3. 物理的安全管理措置
• 入退室管理の実施
• 盗難防止策等の実施
• 機器装置等の物理的な保護　など
4. 技術的安全管理措置
• アクセス制御や権限の管理
• 不正ソフトウェア対策
• 情報システムの監視　など

マイナンバーの取り扱いについて勉強された方は、ピンときたかもしれません。マイナンバーの取り扱いにも安全管理措置として同様の措置を講ずることが義務付けられています。

なお、マイナンバー法の安全管理措置は2016年の1月から適用されていますが、従業員100人以下の一定の事業者である中小規模事業者には軽減措置が設けれれています。蛇足ですが、税理士は通常、「委託に基づいて個人番号関係事務を業務として行う事業者」となるため中小規模事業者に該当しませんので、原則どおりの安全管理措置を講じる必要があります。

また、今回の改正で「データ内容の正確性の確保」に「等」がつきました。

この「等」が意味するところは、データを最新の内容に保つところは改正前と変わりませんが、個人データを利用する必要がなくなったときは、遅滞なく消去するように努めなければならなくなりました。退会などによってその個人のデータを利用する必要がなくなったときは、いつまでもデータを保持することなく消去しなさいということではないでしょうか。