人的安全管理措置 - マイナンバー推進協議会

Download Report

Transcript 人的安全管理措置 - マイナンバー推進協議会

2016年1月施行
社会保障・税番号(マイナンバー)制度に
ついて
~ 管理者・個人番号関係事務実施者研修資料 ~
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
Vr1.0
研修の目的
① マイナンバーについて正しく理解する
② 個人番号関係事務実施者としての役割/責務
を知る
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
参考:「社会保障・税番号制度導入に向けて」
内閣官房 社会保障・税番号制度HP(2015年4月)
マイナンバー制度の概要
行政機関や地方公共団体などで様々な情報
の照合、転記、入力などに要している時間
や労力が大幅に削減されます。
複数の業務の間での連携が進み、作業の重
複などの無駄が削減されます。
添付書類の削減など、行政手続が簡素化さ
れ、国民の負担が軽減されます。
行政機関が持っている自分の情報を確認し
たり、行政機関から様々なサービスのお知
らせを受け取ったりできます。
所得や他の行政サービスの受給状況を把
握しやすくなるため、負担を不当に免れ
ることや給付を不正に受けることを防止
するとともに、本当に困っている方にき
め細かな支援を行うことができます。
≪ マイナンバーの利用範囲 ≫
税
社会
保障
災害
対策
社内でマイナンバー対策スケジュールやルールを構築する必要があります。
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-3-
参考:「社会保障・税番号制度導入に向けて」
内閣官房 社会保障・税番号制度HP(2015年4月)
制度施行スケジュール
個人番号関係事務実施者は遅くとも2016年
1月までに
① マイナンバー運用準備スケジュール
② マイナンバー運用ルール
を構築し、全社員に周知していくことが必
要です。
マイナンバーの利用
(雇用保険、税)を
開始
国民への
マイナンバーの
通知を開始
2015年
10月
マイナンバーの
利用(社会保険)
を開始
情報提供等記録開示
システム(マイナ
ポータル)の稼働
国の機関間での
情報連携を開始
マイナンバー
カードの交付
2016年
1月
2012年2
月
法案可決
Copyright(C)
2015 マイナンバー推進協議会. All rights reserved
2017年
1月
利用が
広がる
-4-
関係事務実施者が行うマイナンバー対策
参考:「マイナンバー社会保障・税番号制度民間事業者の対応」
内閣官房 特定個人情報保護委員会(2015年1月)
企業(事業主)
組織的安全管理措置
人的安全管理措置
基本方針の策定
物理的安全管理措置
技術的安全管理措置
取扱規程などの策定
関係事務実施者は個人番号を取り扱うために
適切な安全管理措置をとらなければなりません
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-5-
組織的安全管理措置
参考:「関係法令 マイナンバー法」
内閣官房 社会保障・税番号制度HP(2015年4月)
1)取扱者の選任
2)組織体制の整備
-基本方針の作成
-取扱規程の作成
-契約書(秘密保持、委託・再委託など)の作成
-業務フロー、マニュアルの作成
-社員教育のスケジュールの作成
3)取扱規定などに基づく運用
-運用状況確認のために、システムログ
または利用実績を記録することが必要
※記録の保管については規定はないが、
情報漏洩などを発見する契機となる
定期点検や監査が終了するまでは
保存の必要があると思われる
4)取扱状況を確認する手段の整備
-個人データ取扱台帳の整備など
5)情報漏えいなどの事案に対応する体制の整備
-事実調査、原因の究明および関係各所へ連絡
-委員会および主務大臣への報告
-再発防止策の検討および決定
-事実関係および再発防止策の公表
6)取扱状況の把握、安全管理措置の見直し
-委託先に対する必要かつ適切な監督
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-6-
人的安全管理措置
参考:「関係法令 マイナンバー法」
内閣官房 社会保障・税番号制度HP(2015年4月)
1)従業員、委託先などとの秘密保持契約の締結
2)関係事務実施者の監督
-取扱規程などに基づき個人番号などが適正に取り扱われるよう
監督を行う
3)関係事務実施者への教育
-個人情報保護法とは異なり、法で認められた以外の目的で収集、
保管などができないことを周知していく必要がある
※ 「委託」「委任」以外の方法で
個人番号を取得・提供するこ
とはできません
4)社員教育
-社員への定期的な教育、研修の実施
-秘密保持について就業規則、内部規
程などに明記し周知の徹底
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-7-
物理的安全管理措置
参考:「関係法令 マイナンバー法」
内閣官房 社会保障・税番号制度HP(2015年4月)
1)特定個人情報などを取り扱う区域の管理
-管理区域: 特定個人情報ファイルを取り扱う情報システムを管理する区域
ICカード、ナンバーキーなどによる入退室の管理、持ち込む機器
(携帯端末など)の制限が必要
-取扱区域: 特定個人情報を取り扱う事務を実施する区域
壁または間仕切りなどの設置、座席配置の工夫が必要
2)機器および電子媒体等の盗難などの防止
-特定個人情報を取り扱う機器などは施錠できるキャビネットなどに保管が必要
3)電子媒体などを持ち出す場合の漏えいなどの防止
-持ち出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用
-特定個人情報が記載された書類の場合は、封緘、目隠しシール貼付などが必要
4)個人情報の削除、機器および電子媒体の削除
-削除または廃棄する場合は、焼却または溶解・専用データ削除ソフトウェアの
利用など復元できない手段で実施
-個人番号などを削除または廃棄した場合、削除または廃棄した旨の記録を保存
-削除または廃棄を委託した場合、その旨を証明書などにより確認する
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-8-
技術的安全管理措置
参考:「関係法令 マイナンバー法」
内閣官房 社会保障・税番号制度HP(2015年4月)
1)アクセス制御
-アクセスできる情報範囲の制御
-アクセス権限の適切かつ定期的な管理
2)アクセス者の識別と認証
-ユーザーID、PWの識別と担当者の限定
-アクセスログの記録
3)外部からの不正アクセスなどの防止策
-ファイアウォール設置
-セキュリティソフト導入
-定期的なアクセスログの分析
4)情報漏えいなどの防止
-外部送信などの通信経路の確認
-データ暗号化
-パスワードによる保護
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-9-
参考:「特定個人情報の適正な取り扱いに関する
ガイドライン(事業者編)」(2014年12月)
内閣官房 社会保障・税番号制度HP
罰則
番号
行為
番号法
個人情報保護法の類似規定
1
個人番号関係事務又は個人番号利用事務に従事
する者又は従事していた者が、正当な理由なく、特
特定個人情報ファイルを提供
4年以下の懲役若しくは200万円以
以下の罰金又は併科(第67条)
2
上記の者が、不正な利益を図る目的で、個人番号
号を提供又は盗用
3年以下の懲役若しくは150万円以
以下の罰金又は併科(第68条)
同上(第69条)
3
情報提供ネットワークシステムの事務に従事する
る者又は従事していた者が、情報提供ネットワーク
ワークシステムに関する秘密を漏えい又は盗用
4
人を欺き、人に暴行を加え、人を脅迫し、又は、財
財物の窃取、施設への侵入、不正アクセス等により
より個人番号を取得
3年以下の懲役又は150万円以下の
の罰金(第70条)
―
5
国の機関の職員等が、職権を濫用して、専らその
の職務の用以外の用に供する目的で、特定個人情
情報が記録された文書等を収集
2年以下の懲役又は100万円以下の
の罰金(第71条)
―
6
委員会の委員等が、職務上知り得た秘密を漏えい
い又は盗用
同上(第72条)
7
委員会から命令を受けた者が、委員会の命令に違
違反
2年以下の懲役又は50万円以下の
罰金(第73条)
6月以下の懲役又は30万円以下
下の罰金(第56条)
8
委員会に対する、虚偽の報告、虚偽の資料提出、
検査拒否等
1年以下の懲役又は50万円以下の
罰金(第74条)
30万円以下の罰金(第57条)
9
偽りその他不正の手段により個人番号カード等を
を取得
6月以下の懲役又は50万円以下の
罰金(第75条)
―
―
―
―
―
個人番号関係事務実施者は「万が一」の違反行為でも厳しい罰則を受ける可能性があります。
マイナンバー取り扱いルール・法律を熟知し、適切な管理・運用をしていくことが必要です。
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-10-
まとめ
【1】関係事務実施者は社員全員の個人番号を取り扱う関係事務
を行う者としての自覚を持たなければなりません
【2】関係事務実施者のための5つの禁止事項
①個人番号を目的外で利用してはなりません
②「委任」「委託」以外の方法で個人番号を取得・提供
してはなりません
③本人の同意があっても第三者へ個人番号を提供しては
なりません(個人情報保護法では問題なし)
④取扱区域・管理区域以外での個人番号関係事務を行っ
てはなりません
⑤安全管理措置に取り組まず、誰でも個人番号にアクセ
スできる環境を作ってはなりません
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
-11-
Copyright(C) 2015 マイナンバー推進協議会. All rights reserved
SRS134082