マイナンバー制度対応準備その2 ―特定個人情報の安全管理策の整備:みならい君のマイナンバー制度対応物語(4)(2/3 ページ)
4回にわたり連載してきた「みならい君のマイナンバー制度対応物語」も、今回でいよいよ最終回となります。最後は、「特定個人情報の安全管理策の整備」について学んでいきましょう。
特定個人情報「取得」における脅威:紛失や流出、誤入力対策は?
それでは、特定個人情報(個人番号)に関して想定される「脅威」を整理していこうか!
前回のミーティングで確認した個人番号の取り扱いプロセスごとに整理していくんですね?
そうだね、まずは、個人番号の「取得」プロセスに関する情報セキュリティのポイントを整理していこう!
はい、個人番号の取得プロセスで予想される脅威としては、「取得時に記録したメモやノートの紛失」「個人番号の通知をメールで受けた場合の当該メールのウイルス感染などによる流出」などがあると思います。
「本人確認書類をコピーして保管(一時保管含む)する場合の当該コピーの紛失」や、「システムへの個人番号入力時の誤入力」なども考えられますよね!
そうだね、それらの対策には、「メモの一時保管に関するルールの策定」や、「一時的なメモの廃棄タイミングと廃棄方法に関する管理策の策定」「個人番号を記録するノートの取り扱いに関するルールの策定」「メールでの取得禁止またはメールで取得した場合の当該メールの削除に関するルールの策定」などが考えられるね! また、「本人確認書類のコピーの取り扱いに関するルールの策定(使用、参照、保管期間、廃棄など)」や、「システムによる誤入力防止機能の追加や入力後のセカンドチェックに関するルールの策定」といったものも考えられるよ!
特定個人情報「利用」における脅威:紛失や意図しない参照、不正利用対策は?
次は、個人番号の「利用」プロセスに想定される「脅威」を整理しよう!
はい、利用プロセスに予想される脅威としては、「個人番号関係事務実施者による意図しない個人番号の不適切な取り扱い」や「個人番号関係事務実施者以外の者による意図しない個人番号の参照」などが考えられると思います。
そうだね、「個人番号関係事務実施者による意図しない個人番号の不適切な取り扱い」には、誤入力や紛失などが該当し、「個人番号関係事務実施者以外の者による意図しない個人番号の参照」には、机上に放置された個人番号やPC上に映し出された個人番号を意図せず見てしまうなどが該当するね。
はい、その対策としては、「教育訓練の実施」や「クリアスクリーン/クリアデスク対応」、また「物理的/環境的対策」などが考えられますね!
「個人番号関係事務実施者の故意による個人番号の不正利用」や、「個人番号関係事務実施者以外の者の故意による個人番号の不正利用」なども考えられますよね!
そうだね、それらのリスクは、番号法の第67条と第68条の罰則につながる脅威になるね。
「正当な理由なく、業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル(マイナンバーを含む情報のファイル)を第三者に提供したとき:4年以下の懲役もしくは200万円以下の罰金(第67条)」と「業務に関して知り得た個人番号を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したとき:3年以下の懲役若しくは150万円以下の罰金(第68条)」ですね。
そうだね、対策としては、「特定個人情報などについての秘密保持同意書による同意」や、「特定個人情報などの取り扱いに関する業務に対する監視または定期的な監査の実施」「物理的/環境的な対策」などが考えられるね。
特定個人情報「委託」における脅威:流出や不正利用、盗難対策は?
次は、個人番号の「委託」プロセスに想定される「脅威」を整理しよう!
はい、委託プロセスで想定される脅威としては、「個人番号関係事務の委託先による意図しない個人番号の紛失・流出」や「委託先の故意による個人番号の不正利用」「委託先での盗難や不正アクセス」などが考えられると思います。
そうだね、それらの対策には、「委託先の情報セキュリティ対策に対する事前評価」「秘密保持を含んだ契約の締結」「委託先の特定個人情報の取り扱い状況の継続的な把握」などが考えられるね!
Copyright © ITmedia, Inc. All Rights Reserved.