情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
平成26年12月11日に特定個人情報保護委員会によって策定及び公表された「特定個人情報(マイナンバー)の適正な取扱いに関するガイドライン(事業者編)」の一部が修正され、改正された措置方法を平成29年5月30日に施行すると、特定個人情報保護委員会が公表しました。
修正された部分は、当ガイドライン内の「第3-6 特定個人情報の漏えい事案等が発生した場合の対応」について、以下三点です。
・特定個人情報(マイナンバー)の漏洩事案等の発覚において講ずべき措置。
・本告示に基づく報告。
・番号利用法(マイナンバー法)第29条4に定められた重大事態等に関する報告
引用元:http://www.ppc.go.jp/files/pdf/170530_3_zigyousya.pdf
なお、行政機関・独立行政法人・地方公共団体において、特定個人情報(マイナンバー)の漏洩の発生があった場合、以下の様式を用いて個人情報保護委員会へ報告します。
引用元:http://www.ppc.go.jp/files/pdf/170530_3_zigyousya.pdf
個人情報保護委員会は、万が一、特定個人情報(マイナンバー)漏洩等の重大事態が発生した場合における報告の流れを、以下のように提案しています。
引用元:http://www.ppc.go.jp/files/pdf/271225_houkoku_flow.pdf
生存する個人の氏名・生年月日・住所・顔写真・電話番号のような情報の記述等を元に、特定の個人を識別できるものが個人情報です。
個人データは、個人情報を保管及び管理するデータベース化において、それらデータベースを構成する個人情報と定義されています。
一方で保有個人データとは、個人データのうち、事業者がそれらデータの開示・修正・追加・削除等の権限を有し、6か月以上保有する個人情報と定義されています。
平成27年9月4日より、事業者の定義の範囲が一部改正されています。
以下は改正を踏まえて定義されている、個人情報取扱事業者の範囲です。
・個人情報データベース等(紙媒体・電子媒体等の特定の個人情報の検索を可能とする構成)を用いて事業活動を行う者。
・5,000人分以下の保有個人データを運用する事業者。
※国の機関・地方公共団体・独立行政法人等・地方独立行政法人を除く。
今回発表されたポイントとしては、マイナンバー漏洩時の報告フローを元にした、体制の構築だと考えます。既に情報セキュリティポリシーを策定している企業はポリシーの中に特定個人情報保護法(マイナンバー)に関する項目があり、管理方法や、インシデント発生時の対応について具体的に明記されているはずなので、改めて何かをすることはないです。ただそういった特定個人情報(マイナンバー)の管理対策について対策をしていない場合はUTMを設置して、技術的安全管理措置を行ったり、インシデント発生時の対応が明記されていない場合は、社内で通信ログを管理、監査したりと体制の構築が必要となります。何れにしても情報セキュリティポリシーが全ての起点となることには、違いはありません。対策を取られていない、または何から手を付けたらいいかわからない場合は弊社の相談窓口までお気軽に連絡を頂ければ、お客様の同業他社はどの程度構築しているのか等をお伝えできます。
