安全管理措置の検討手順

企業が個人番号と特定個人情報を取り扱う際には、個人番号を取り扱う事務の範囲と、個人番号と特定個人情報の範囲を明確にしなければならない。また、事務取扱担当者も選任しておく必要がある。

　組織として、個人番号と特定個人情報を適正に取り扱うためには、「事務の範囲」「情報の範囲」「担当者」を明確にしたうえで安全管理の基本方針を策定することが重要である。

　また、取扱い規程を策定して、個人番号と特定個人情報を取り扱う体制を整備し、それに対応して情報システムを改修することも必要になる。

　事業者は、特定個人情報等の取扱いに関する安全管理措置について、次のような手順で検討する。

安全管理措置の検討手順①

「個人番号を取り扱う事務の範囲を明確にする」

事業者は、個人番号関係事務または個人番号利用事務の範囲を明確にしておかなければならない。そこで、最初に社内の業務を洗い出して、どのような業務が個人番号利用事務に該当するかを検討する必要がある。

企業では、個人番号関係事務を中心に行うことになる。たとえば、従業員の給与所得の源泉徴収票作成事務、健康保険と厚生年金保険の各種届出作成事務、支払調書作成事務などを行う。これらの事務の範囲を明確にして、それ以外の事務で個人番号の利用を禁止する必要がある。

安全管理措置の検討手順②

「個人番号と特定個人情報の範囲を明確にする」

事業者は、個人番号と特定個人情報の範囲を明確にしなければならない。

具体的には、事務で使用する個人番号と個人番号と関連づけた氏名や生年月日などの個人情報の範囲を明確にする必要があるため、個人番号利用事務で用いる「個人番号」と「個人番号に関連づけされる個人情報」の洗い出しを行う。

主な個人番号利用事務には、従業員の給与所得の源泉徴収票作成事務、健康保険や厚生年金保険の各種届出作成事務、支払調書作成事務などの事務があるが、これらの事務で取り扱う際に不必要な情報と個人番号を関連づけて管理しないようにする。

安全管理措置の検討手順③

「事務取扱担当者を選任する」

　個人番号と特定個人情報に関連する個人情報の洗い出し作業を進めるとともに、これらの特定個人情報を取り扱う事務取扱担当者を選任しなければならない。

特定個人情報等を取り扱う範囲を明確にしたとしても、取扱い事務を行う者がそのつど変わるような状況では、漏えいリスクを低減することはできない。したがって、誰が特定個人情報等を取り扱う事務を行うのかを明確にして、無関係の者には取り扱わせないようにする必要がある。

この事務取扱担当者をどの程度明確にすればよいかであるが、部署名や事務名などから担当者がわかれば十分である。ただし、部署の名称などから事務取扱担当者の範囲がわかりづらい場合には、事務取扱担当者を指名する。

安全管理措置の検討手順④

「基本方針を策定する」

組織として個人番号と特定個人情報の適正な取扱いに取り組むために、特定個人情報等取扱いの基本方針を策定する。

安全管理措置の検討手順⑤

「取扱い規程の策定」

これまでの手順①「個人番号を取り扱う事務範囲を明確にする」、手順②「特定個人情報等の範囲を明確にする」、手順③「事務取扱担当者を決める」などをして明確化した特定個人情報等の適正な取扱いについて、確実に実行するために、取扱い規程の策定を行う。

（※　平成27年11月時点で執筆しております。その後の法改正にご留意ください。）

新着情報・セミナー情報