10.E.物理的安全管理措置(準備編)

準備段階で必要な、物理的安全措置

E物理的安全管理措置

「事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない」と定まっています。準備段階で必要なのはこのうちの最初の2項目です。

  • a特定個人情報等を取り扱う区域の管理
  • b機器及び電子媒体等の盗難等の防止

小規模事業者向けガイド:
○マイナンバーが記載されている書類は、カギのかかるところに大切に保管しましょう。
○源泉徴収票の控えなど、マイナンバーの記載されている書類を外部の人に見られたり、机の上に出しっぱなしにしたりしないようにしましょう。

a特定個人情報等を取り扱う区域の管理

定義:
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。

要件:
管理区域:マイナンバーファイル関連のシステムやファイルがあるサーバールーム等
取扱区域:マイナンバーの記載された書類を取り扱う場所。
上記それぞれの場所について、安全管理措置を行なうこと。

ガイドライン本体:
≪手法の例示≫
* 管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ持ち込む機器等の制限等が考えられる。
* 入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる。
* 取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及び座席配置の工夫等が考えられる。

具体的な管理区域の安全管理:
 システム化をしない、電子データにしないのであれば「管理区域」についての準備は不用です。
 ファイルサーバー等にファイルを保存する可能性があるならば「管理区域」を明確にして安全管理措置が必要です。
 現実的には、サーバー専用の部屋があるならば、部屋にカギをかけておく必要性があります。また、運用面では入退室の管理や、その記録を取ることが必要になります。
 多くの中小企業ではサーバー専用ルームを設置していないことが多いかと思います。その場合は、サーバー専用のラックなどを購入し、ラックのカギの管理や、カギの開け閉めの記録を取ることになります。
 専用の1台のPCで管理する場合も、「PC収納ボックス」などに入れておくことをお薦めします。

具体的な「取扱区域」の安全管理:
 取扱い区域は、社内で社会保険や、給与、税務及びマイナンバーの取得、廃棄に関する事務を行なう場所です。専用の部屋があれば、その部屋への施錠となりますが、一般的な中小企業ではそのような場所も確保しづらいと思います。その際には、部屋の一番端(奥)を取扱区域として、高さ180cm程度のパーティションなどで区切る必要が有ります。

b機器及び電子媒体等の盗難等の防止

定義:
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。

ガイドライン本体:
≪手法の例示≫
* 特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。
* 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定すること等が考えられる。

具体的な手法:
 マイナンバーが記載された税・社会保険他の書類だけを保管するために、カギのかかる書棚があればその中の整理をしたり、マイナンバー専用の書棚などを準備する必要があります。従業員の人数が少なく、書類もほとんどない場合は、鍵付の袖机などでも大丈夫です。
 「管理区域」の電子機器については同時に「パソコン盗難防止ワイヤー」などで、机等に固定しておくと更によいです。特別な部屋がある場合は、部屋の施錠などを実施します。