重要となる2つのガイドライン
特定個人情報保護委員会は、民間分野に関して重要となる2種類のガイドラインを
策定しています。
① 「特定個人情報の適正な取扱いに関するガイドライン〈事業者編)」
→ 事業会社向けのガイドライン
② 「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」
→ 金融業務向けのガイドライン
これらのガイドラインには、企業が行うべき安全管理措置をあげています。
≪ 組織的安全管理措置 ≫
・ 組織体制の整備
・ 取扱規程等に基づく運用
・ 取扱状況を確認する手段の整備
・ 情報漏洩等事案に対応する体制の整備
・ 取扱状況の把握および安全管理措置の見直し
≪ 人的安全管理措置 ≫
・ 事務取扱担当者の監督
・ 事務取扱担当者の教育
≪ 物理的安全管理措置 ≫
・ 特定個人情報等を取り扱う区域の管理
・ 機器および電子媒体等の盗難等の防止
・ 電子媒体等を持ち出す場合の漏洩等の防止
・ 個人番号の消去、機器および電子媒体等の廃棄
≪ 技術的安全管理措置 ≫
・ アクセス制御
・ アクセス者の識別と認証
・ 外部からの不正アクセス等の防止
・ 情報漏洩等の防止
ガイドラインは、すべての会社に対応してもらうことを重要視し、わかりやすく
かつ具体的な例示を多数のせています。
必ずガイドラインを読んで対応を
特定個人情報保護委員会は、各企業にガイドラインを必ず読み、対応を行うことを推奨して
います。
ガイドラインの中で、
「『しなければならない』及び『してはならない』と記述している事項については、これらに
従わなかった場合、法令違反と判断される可能性がある。」
「一方、『望ましい』と記述している事項については、これに従わなかったことをもって
直ちに法令違反と判断されることはないが、番号法の趣旨を踏まえ、事業者の特性や規模に
応じ可能な限り対応することが望まれるものである。」
とあります。
ガイドラインに従わなかった場合は法令違反と判断される可能性があり、
『望ましい』とされる事項については、可能な限り対応することを求めています。
各企業はガイドラインをしっかりと読み込み、対応を行うことが避けられないのです。
従来の個人情報保護との違い
番号法は従来からある個人情報保護法の「特別法」という位置付けです。
マイナンバーの安全管理も、あくまでも従来ある個人情報保護の考え方を踏襲しています。
ただし、マイナンバーは従来の個人情報以上に重要性が高いため、より厳格な管理を求めて
います。
また、個人情報保護は、統括して安全管理を監督する組織がなく、それぞれの事業を所管する
各省庁が個別にガイドラインを規定していましたが、マイナンバーに関しては、
「特別個人情報保護委員会」が統括して管理するため、ガイドラインも各分野・事業ごと
ではなく統一したものを利用することになっています。
まとめ
ガイドラインといえば、専門用語が並んでいたり、どのような場面か想像できなかったりで
あまり身近ではないイメージですが、「特定個人情報保護委員会」が規定した
マイナンバーに関するガイドラインは、すべての企業が読んだうえで対応することを重要視
しているので、わかりやすく記載されています。
必ずガイドラインを読んで法令違反とならないような対応をすることが重要です。