伊藤 しかし、取扱規程に全ての事象を想定して網羅しておくことは難しいでしょう。実際の現場では、取扱規程に定めていない事態が発生することも考えられます。
そこで、各事業者が社内の取扱いルールを定めるうえで参考とすべき、特定個人情報保護委員会が作成した「特定個人情報の適正な取扱いに関するガイドライン」に定められている事項も教育内容の一つとして含めた方が良いでしょう。
大橋 万が一、取扱規程などに定めていない事象が発生した場合に、事務取扱担当者が原則を知っているか否かで対応は変わりそうですよね。
伊藤 その通りです。
まだまだ、このガイドラインを読んだことがない事務取扱担当者は多いと思いますが、全ての原則は法律とガイドラインに記載されていますので、ぜひ教育内容の一つとして盛り込んでみてください。
大橋 そうすると、各事業者ごとに定めた取扱規程と、ガイドラインの内容を教育内容に盛り込めば大丈夫でしょうか?
伊藤 各事業者が取扱規程にどこまでルールを定めているかにより異なるでしょう。
これから事務取扱担当者はマイナンバーを収集し、保管、利用を行いますが、この中での重要なポイントは「漏えいしない」ことになります。
この、情報を漏えいしないための対策はセキュリティ対策に他なりません。
紙だけで収集・保管・利用する場合は、その「紙」から情報が漏えいしないようにすれば問題ありませんが、PCやシステムを利用する場合は、IT上のセキュリテイ対策まで事務取扱担当者に徹底する必要があるでしょう。
大橋 例えば、業務で使うPCの「オートコンプリート機能」(過去に入力した文字列を記憶して、文字列の最初を入力するだけで自動的に合致する候補を列挙する機能)をオフにするといったようなことでしょうか。
伊藤 他にも、ガイドラインには「壁、または、間仕切りなどの設置」などが安全管理措置の手法として例示されていますので、スクリーンセーバーの設定などもしておくことになるでしょう。
大橋 確かに、いずれもガイドラインには記載されてませんが、情報漏えい防止の対策としては重要な対策ですよね。
とはいえ、ITに関する内容だと、情報システム部門を設置していない企業では対策が難しいように思います。
伊藤 専門的な知識を持っていない方でも分かりやすいサイトとして情報処理推進機構が出している「IPA 対策のしおりシリーズ」というのがあります。このような情報も活用すると良いでしょう。
大橋 まとめると、従業員などの教育では「各事業者における取扱規程などで定めた内容」「ガイドライン」「セキュリティ」を研修などを通じて教育すると良いということですね。
伊藤 そうですね。
また、各事務取扱担当者の方の理解度を測るテストなどを行うとより効果的でしょう。
大橋 伊藤塾長、ありがとうございました。
次回からは、業務の一部、または全部を委託する場合について進めていきたいと思います
<information> ※追加
今回の記事でも触れている「監視ツール」について、S&J株式会社が開発元となった「MySOC」ではマイナンバーが安全に取り扱われているか、端末がマルウェアに感染していないかを監視することができます。
サービスの紹介はこちらから
パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。
詳細やお申込は<こちら>から。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング