特定個人情報取扱規定「実務指針」には何を記載すべきか

IT・IT製品TOP > Key Conductors > 塚田 秀俊(株式会社野村総合研究所) > 特定個人情報取扱規定「実務指針」には何を記載すべきか
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

特定個人情報取扱規定「実務指針」には何を記載すべきか

運用管理 2015/08/10

 前回紹介した「特定個人情報取扱規定」における基本方針・取扱規定は、ガイドラインに沿った内容で「当社としてどうするのか」を記載する位置付けとなるので、記載内容も自ずとガイドラインに準拠した記載内容となる。
 一方、今回解説する「実務指針」は各社の組織体制、業務、業務システムに依存する。そこには何を記載すべきか、その考え方を解説する。

 規定階層図(前回の記事下図版を参照)で言うと、第三階層の「実務指針」は企業ごとの業務体制に大きく依存するため、「共通編」「事務別編」といった構成に分けて考えることをおすすめする。
 共通編には、「社内体制・役割」「安全管理措置の具体的な内容」「収集、保管、提供」「削除、廃棄」「監査、検査」「社外委託」「事故発生時の連絡体制」といった業務依存性の無い全社共通の項目を記載する。
 一方「事務別編」は、「源泉徴収事務」「雇用保険事務」といった各事務におけるマイナンバーの取扱や取扱う特定個人情報の範囲等を記載する。特に番号法で要求されている、利用制限、保管制限、不要情報の速やかかつ修復不可能な方法による廃棄については、業務の実体を踏まえ規定を作成しないと規定は作ったが実際の運用が伴わないといった事態が発生しかねないので業務及びシステムの状況を考慮した実務指針を作成すべきである。

■「共通編」での記載事項

 では共通編のうち、安全管理措置の具体的な内容にはどんな記載が必要であろうか?4つのカテゴリに分けて例示したい。

組織的安全管理措置:モニタリングの方法、モニタリングの結果として規定違反、情報漏洩が発生した場合の体制を記載

人的安全管理措置:監督する内容と対象、教育する対象と内容その実施時期等を記載

物理的安全管理措置:マイナンバー取扱場所の指定、入退出管理方法、機器の管理等を記載

技術的安全管理措置:権限の種類、権限の付与と停止、利用状況、不正アクセス・漏洩防止のための仕組みについて記載

■「事務別編」での規定事項

 次に事務別編で規定すべき事項を例示する。部署、提出期限、提出先、取扱う特定個人情報の範囲、事務フロー、相互牽制措置、法定保存期限、作成方法である。
第三者に明確な説明ができるよう具体的な規定を作成することをおすすめする。        

 以上、今回は「特定個人情報取扱規定」の第三階層「実務指針」の設計について、考え方を解説させていただいた。
 次回は少し視点を変え、マイナンバー制度への対応はどれほどの企業で、どこまで進んでいるのか、民間企業におけるマイナンバー制度への取組状況を紹介したい。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008065


IT・IT製品TOP > Key Conductors > 塚田 秀俊(株式会社野村総合研究所) > 特定個人情報取扱規定「実務指針」には何を記載すべきか

このページの先頭へ

キーマンズネットとは
東洋信託銀行から2008年野村総合研究所に入社、金融機関向け企画営業、金融機関向けIERS導入支援に従事。現在野村総合研究所新事業企画室・制度戦略研究室を兼務。上級研究員。2013年よりマイナンバー制度研究に従事し、実務対応を研究。マイナンバー制度各種団体向け、企業向けセミナーを多数実施。研修教材の執筆・監修を手掛ける。

ページトップへ