J-SOXの経験に学ぶ
マイナンバー制度対応のイロハ
【第3回】
(最終回)
「安全管理措置は企業ごとの状況に応じたリスクを認識して構築する」
公認会計士 金子 彰良
取扱規程等の作成にあたり、統一的なモデルは提示されない。
最終回となる今回は、制度対応の実務的なアプローチとして、「取扱規程の作成、安全管理措置の検討のための5ステップ」を紹介する。
ポイントは、安全管理措置は企業ごとの状況に応じたリスクを認識して構築する、ということである。
(なお、文中の意見に関する部分は、筆者の個人的な見解であることをお断りしておく。)
◆はじめに
第2回では、具体的な安全管理措置の検討を実施するに先だって、その前提となるガイドラインの各保護措置について、マイナンバー制度対応に伴い関連事務が付加される5つの業務プロセス、「取得」「利用」「保管」「提供」「削除・廃棄」と関連付けて解説した。
安全管理措置の検討にあたっては、これら5つの業務プロセスに焦点をあてて、関連事務をどのように既存業務に取り込むかを検討し、To-Be(あるべき姿)の業務プロセスを作成する。
第3回では、制度対応の実務的なアプローチともいえる「取扱規程の作成、安全管理措置の検討のための5ステップ」について解説する。
◆制度対応の実務的なアプローチ
▷取扱規程等の作成にあたり、統一的なモデルは提示されない
ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」(以下「別添資料」という)では、安全管理措置の検討のアウトプットとして、「取扱規程等の策定」をあげている。この取扱規程等には、特定個人情報等の取扱事務の流れを整理して、管理段階(取得、利用、保存、提供、削除・廃棄)ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定める。
ところで、事業者によって、扱う個人番号の規模や特定個人情報等の取扱い事務の特性は異なる。上記の取扱規程等の趣旨をくみ取るならば、実際に特定個人情報ファイルの取扱規程等を作成するためには、各事業者の具体的な事務の流れを整理する必要があろう。
すなわち、ひな型となるモデル規程があったとしても、それは参考にするにとどまり、そのまま利用することはガイドラインの趣旨と異なると言える。この点は、ガイドライン策定の過程で特定個人情報保護委員会から公表されていた「取扱規程等について統一的なモデルを提示する予定はない」との考え方にもつながる。
とはいえ、別添資料では、事務対応への配慮から、中小事業者向けの簡便的な対応案がいくつか記載されているので、このような手法の例示を参考にしながら検討することになるだろう。
▷取扱規程の作成、安全管理措置の検討のための5ステップ
ここでは、別添資料における取扱規程等の策定について、「安全管理措置を織り込む」とはどのようなことを指しているのか、もう一段階レベルを落として実務的な検討手順として5つのステップを紹介したい(図表3-1)。
この記事全文をご覧いただくには、プロフェッションネットワークの会員(プレミアム
会員又は一般会員)としてのログインが必要です。
通常、Profession Journalはプレミアム会員専用の閲覧サービスですので、プレミアム
会員のご登録をおすすめします。
プレミアム会員の方は下記ボタンからログインしてください。
プレミアム会員のご登録がお済みでない方は、下記ボタンから「プレミアム会員」を選択の上、お手続きください。
