知って納得、「セキュリティ法制度対応」の具体策【第2回】マイナンバー対応でよく耳にする「安全管理措置」、具体的に何をするのか？ (1/3)

連載第2回となる本稿では、マイナンバーに関するセキュリティ法制度対応として、情報システムに求められるマイナンバーの安全管理措置について解説する。

[太田 海，NRIセキュアテクノロジーズ]

情報システムに関わりの深い安全管理措置（濃色部）《クリックで拡大》

　連載第1回「“マイナンバー対応”と騒ぐ前に理解すべき『セキュリティ法制度』」では、法制度対応においては法令に加えて官公庁からのガイドラインなどの公表内容も参照すべきであることを述べた。今回は、「マイナンバー」（社会保障と税の共通番号）に関するセキュリティ法制度対応として、情報システムに求められるセキュリティ対策である「安全管理措置」について解説する。

　この安全管理措置について必ず踏まえるべきガイドラインがある。それは、「マイナンバーの有用性に配慮しつつ、その適正な取扱いを確保するために必要な措置を講ずること」を目的とする、特定個人情報保護委員会が公表するガイドラインだ。そのうち多くの事業者に適用可能なのが、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」である。

　同ガイドラインの位置付けは、事業者に対して、マイナンバーを内容に含む個人情報である「特定個人情報」の適正な取り扱いを確保する具体的な指針を定めるものだ。安全管理措置は主に、別添の「特定個人情報に関する安全管理措置（事業者編）」で取り上げられている。情報システムのみならず、事務全般を通じた安全管理措置をも含めた内容になっている。

　以下では、情報システムに関わりの深い安全管理措置を中心に、ガイドラインに例示されている手法を紹介し、その具体例についても解説する。

併せて読みたいお薦め記事

マイナンバー制度のIT対応、どう進めるか

• 企業の対応方法は？　「マイナンバー制度」のここが大変
• 「マイナンバー制度」のIT対応、“2つの落とし穴”をどう避ける？
• 「マイナンバー制度」と「ストレスチェック義務化」を賢く乗り切る秘訣とは

「年金機構問題」で再考するセキュリティ対策

• 日本年金機構の事件でも悪用か　マルウェア「Emdivi」の恐ろしさ
• “年金機構事件”は対岸の火事ではない　「標的型攻撃対策」を再考する

意外と危険、BYODの法的リスク

• 私物スマートフォンを監視　合法と違法の境目は
• 私物スマートフォンで持ち帰り残業、残業代は請求できる？

組織的安全管理措置