連載第4回では、マイナンバー制度の特定個人情報や個人番号の事務取扱規程などの整備、組織的安全管理措置について触れました。今回は、安全管理措置の続きとして、人的安全管理措置、物理的安全管理措置について触れます。技術的安全管理措置に関しては、第6回で触れます。

7合目:人的安全管理措置を検討しよう

 人的安全管理措置としては、次の措置が必須です(図1)。事務を行うのは人であり、多くの漏洩事故が人絡みで起きると想定されることから、この人的安全管理措置は安全管理措置の中でも最も重要なものです。監督者も事務取扱担当者も、それぞれ自己の職責と特定個人情報を取り扱うことに関して、重要性を自覚することが人的安全管理措置の基礎となります。

図1●人的安全管理措置
図1●人的安全管理措置
[画像のクリックで拡大表示]

 a 事務取扱担当者の監督
 事業者は、特定個人情報などが取扱規程などに基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

 b 事務取扱担当者の教育
 事業者は、事務取扱担当者に特定個人情報などの適正な取り扱いを周知徹底するとともに適切な教育を行う。

 「a 事務取扱担当者の監督」は、主として「日常業務における事務取扱担当者の管理者が行う監督」において実施されるものが想定されます。従業員に対して特定個人情報の適正な取り扱いを指示し、この適正な取り扱いを徹底するため特定個人情報の取り扱い状況を監視し、逸脱状況など不適正な取り扱いがあれば是正を命令すること、が監督の意味です。

 特定個人情報取扱ガイドラインでは義務とされていませんが、例示で挙げられているように、秘密保持に関する事項(非開示契約)を就業規則などに追加で盛り込むことも考えられます。またこの秘密保持に関して違反時の処罰を規定すると同時に、違反した際に適切に処分することも、この監督の内容に含まれると考えられます。

 「b 事務取扱担当者の教育」は、手法の例示では定期的な研修の実施が挙げられていますが、研修の実施にとどまるものではなく、事務取扱担当者の管理者による日常業務における日々の指導も当然そのうちに含まれると考えられます。