今から間に合うマイナンバー対策　施行後の取組み編

こんにちは。情報セキュリティコンサルタントの石原克四です。

緊急特別企画「今からでも間に合うマイナンバー対策」も３回目となりました。

前回までは、マイナンバー対策で今後やるべきこととして
「基本方針の策定」、「取り扱い規定の策定」と、4つの安全管理措置のうちの２つ、

• 組織的安全管理措置
• 人的安全管理措置

について説明しました。

今回は残りの

• 物理的安全管理措置
• 技術的安全管理措置

のうち、物理的安全管理措置のお話をしていきたいと思います。

物理的安全管理措置はその名の通り、物理的な安全対策を行うというもので、
次の4つの措置を講じることが必須となります。
ａ. 特定個人情報等を取り扱う区域の管理
ｂ. 機器及び電子媒体等の盗難等の防止
ｃ. 電子媒体等を持ち出す場合の漏えい等の防止
ｄ. 個人番号の削除、機器及び電子媒体等の廃棄

ａ. 特定個人情報等を取り扱う区域の管理

特定個人情報等の情報漏えいを防止するために、マイナンバーの事務処理を行ったり、管理したりする場所（管理区域）を明確にします。
管理区域は、情報漏えいをさせない環境作りが必要となります。

• 取り扱い担当者以外は簡単に立ち入りできないようにする
• 管理区域内の書類やディスプレー等は、壁や間仕切りを利用し、担当者以外には見えない場所にする。 （デスクパーテーション等で、他の人から見えないような作業スペースを設ける程度でも問題ない）
• 個人情報の書類は鍵のかかったキャビネットにしっかり保管する。
• カメラのような撮影機器を持ち込ませない（個人情報が映っているパソコン画面を撮影させないため）
• いつ誰がその場所で誰の個人情報を扱ったか、履歴を取る

理想としては、取り扱い区域への入退室管理履歴をICカード等で行えれば完璧です。
しかし、中小企業の多くはそこまではできないと思います。
代替手段として、個人情報の取り扱い管理日報をつけるようにしましょう。
日報には、

• いつ
• だれが
• 何の情報を
• どのような処理をしたか
これらを必ず記載してください。



b. 機器及び電子媒体等の盗難等の防止

企業の多くは、特定個人情報をデータとして電子機器に保存・利用することが多いので、電子機器の盗難に気をつけなければいけません。
ノートパソコンや外付けハードディスク、USBメモリなど、持ち出しが容易な機器は、鍵のかかるキャビネットに保管しましょう。
移動が容易でないデスクトップパソコンも、ワイヤーロック等でしっかり固定し、施錠管理をしましょう。



c. 電子媒体等を持ち出す場合の漏えい等の防止

基本的には、特定個人情報などが記録されたデータを、管理区域外へ持ち出すことは好ましくありません。 しかし、やむを得ない場合には、安全に持ち出すために以下の対策を講じましょう。

• 特定個人情報などが記録されたデータは、データの暗号化・パスワードで保護する。
• 書類を持ち出す場合は、封筒や目隠しファイルに入れたり、目隠しシールをしたりして、容易には見られないような措置を講じる。

d. 個人番号の削除、機器及び電子媒体等の廃棄

個人番号利用事務を行う必要がなくなった場合で、且つ所管法令等において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄しなければなりません。
また、特定個人情報ファイルを削除した場合や、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存します。
これらの作業を外部業者に委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する必要があります。
また、下記の場合は、特定個人情報の保存が不要になります。


• 従業員が退職した場合
• 源泉徴収票、扶養控除申請書等の法定帳票の保存期限が過ぎた場合
これらに該当する場合、担当者は速やかに、マイナンバーを復元できない状態で破棄しなければいけません。
「復元できない状態」とは


• 書類の場合
焼却・溶解・裁断等によって処理したものを指します。
シュレッダーで処理する場合は、文字が読みとれない位、できるだけ細かく裁断されるものを使用しましょう。
ちなみに、お客様には、「マイクロクロスカット（マイクロカット）」という裁断方式を採用しているシュレッダーをおススメしています。


• データの場合
データ削除ソフトで削除、またはハードディスクを物理的に破壊して、データがしっかりなくなる状態にしたものを指します。
余談ですが、ファイルをパソコンのゴミ箱に入れるだけでは、データは消去されていませんので、ご注意ください。

なお、中小規模事業者では、責任者が個人情報を削除・廃棄したことを確認すればＯＫです。

次回は、「今からでも間に合うマイナンバー対策」最終回です。
技術的な安全管理措置について説明をします。

それではまた来週！


マイナンバー対策でご不安な方は、当社にお任せください

マイナンバー制度に備えるためには、まず情報漏えい対策をしっかり講じることが大切です。当社では、中小企業向けの情報漏えい対策サービスをご用意しております。お気軽にご利用ください。

会社のリスクが一発で分かる
無料セキュリティ診断
すぐできる対策情報満載
セキュリティ本プレゼント



8・9・10月で追加開催決定！ 船井総合研究所 共同企画

中小企業に本当に必要なマイナンバー対策が分かります

自社で取り組むマイナンバーセミナー

投稿今から間に合うマイナンバー対策　施行後の取組み編は石原先生のネットセキュリティ相談所の最初に登場しました。