連載第3回では、マイナンバー制度の安全管理措置の検討の流れや基本方針の策定について触れました。今回は特定個人情報や個人番号の事務取扱規程などの整備や、組織的安全管理措置について触れます。
5合目: 特定個人情報の事務取扱規程などを整備しよう
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報適正取扱ガイドライン)の「(別添)特定個人情報に関する安全管理措置」では、特定個人情報や個人番号の取扱規程などの策定が義務付けられています。
この取扱規程などは、個人番号を取り扱う事務の範囲の明確化や、特定個人情報などの範囲の明確化、事務取扱担当者の明確化の三つの明確化を受けたものです。事務の流れを整理して、個人番号や特定個人情報の安全管理措置に関する基本方針を策定したうえで、特定個人情報などの具体的な取り扱いを定める取扱規程などを策定しなければならないとされています。
特定個人情報適正取扱ガイドラインの「手法の例示」では、「取得」-「利用」-「保存」-「提供」-「削除・廃棄」の管理段階ごとに、「取扱方法、責任者・事務取扱担当者及びその任務などについて定めることが考えられる」とされています。どのような内容を定めるかについては、組織的・人的・物理的・技術的の4つの観点からの安全管理措置を織り込むことが“重要”としています。
