< 本書の内容 >
はじめに
本書は、「マイナンバー対応ガイドシリーズ」の第3弾です。
第1弾 【準備・体制整備編】](http://www.amazon.co.jp/dp/B00ZROUFUO)
第2弾 【対応実務編】](http://www.amazon.co.jp/dp/B010A15AKI)
本書のテーマは、「安全管理措置」です。マイナンバー対応業務を「点検」して、適切な安全管理措置を検討することが目的です。ガイドライン等を参考にして、マイナンバー対応を一通り終えた中小企業を対象にしています。
「マイナンバー対応、おわりましたか?」
筆者は社会保険労務士として、いろいろな会社の経営者・実務担当者に問いかけてみましたが、ほとんどが顔をくもらせて「ま・・まぁ一応やってますけど・・・」といったあいまいな答えを返すばかりです。無理もありません。会社の経営者・実務担当者を不安にさせるような大事件が起こったのです。日本年金機構による125万件の個人情報流出事件です。マスコミは連日報道をおこない、機構には問い合わせや苦情の電話が殺到しました。受け付けのために専用電話を設置し、1,000人態勢で対応をおこなったとのことです。
事件発生後、すぐに「マイナンバー導入を延期して、個人情報保護の観点から制度見直しをおこなうべきだ」という声があがりましたが、結局、導入時期の見直しはおこなわれませんでした。
これだけ世間の関心が集中している中、「もし、自分の会社がマイナンバー漏えい事件の第1号になったら・・・」そのような状況は悪夢でしかありません。ほとんどの会社にとって、存続にかかわる大事件に発展する可能性が十分にあるのです。
特に、中小企業は、時間も費用も人員も非常に限られています。はたして自社のマイナンバー対応は大丈夫なのか、確信が持てないとしても仕方ないのではありませんか?
本書は(そしてマイナンバー対応ガイドシリーズは)、「うまくいってあたりまえ。なにか問題があれば責任を追及される」状況で、むずかしい対応を迫られているすべての中小企業の経営者・実務担当者のご負担が、すこしでも軽くなることを願って書きました。やみくもにガイドライン等の「手法の例示」をおこなうのではなく、情報セキュリティのポイントをしぼって対応する方法をご提案します。
現状をひとつひとつ「点検」しながら、安全管理措置を講じていきましょう。
【 目 次 】
はじめに
第1章 安全管理をどのように行うか
安全管理の基本
個人情報は、どのようにして漏れているか?
会社が安全管理措置に組織で取り組まなければならない理由と、問われる法的責任
安全管理とは、一言でいえばこういうこと
安全管理措置とドべネックの桶(リービッヒの最少律の法則)
安全管理のために業務を改善する(8原則)
「点検!」個人のミスを責めるだけの安全管理になっていないか?
第2章 基本方針の策定
基本方針は、安全管理措置の基盤としての役割を果たす
組織的な対応でなければ、リスクは減らせない
猫の首に鈴をつけるのは誰か?
「点検!」基本方針が「安全管理措置」の基盤的役割を果たせているか?
基本方針は、安全管理措置の羅針盤
基本方針は守らなければならない
ルールはこうして破られる
「点検!」基本方針が「建前」や「理想」になっていないか?
基本方針は、最優先で守らなければならない
いつでも基本方針を最優先すべき
「仕事と私、どっちが大事なの?」問題
「点検!」「基本方針が最優先」の例外ができていないか?
第3章 取扱規程の策定
安全管理措置としての「取扱規定の策定」
現状を踏まえた取扱規程を策定することでリスクを減らす
ポイントは「仕組み」と「環境」の整備
「点検!」手続きを決めただけの取扱規程になっていないか?
取扱規定の「決め方」と「仕組み」の関係
法令ますます彰かにして、盗賊あること多し
確実性と便宜性をどのように両立させるか?
「点検!」確実に規定し、柔軟に改訂できるようになっているか?
取扱規程でなにを守るか
守るべき対象を明らかにする
紙媒体とデジタル媒体の特徴と安全管理措置
「点検!」すべての媒体・経路が対象になっているか?
業務フローとチェックリスト
仕事を明確にしてリスクを減らす
仕事を明確にする2つのツール(業務フローとチェックリスト)
業務フロー
チェックリスト
「点検!」業務フローとチェックリストで、リスクを減らせるようになっていますか?
情報は、管理されていないところから漏れる
意外なところに特定個人情報が隠れてる
見落としやすい個人情報とリスクを軽減する工夫
見落としやすい特定個人情報
リスクを軽減する工夫
「点検!」見落としはないか確認する
第4章 組織的安全管理措置
安全管理措置に継続的に取り組む仕組み
安全管理措置のPDCAを回して精度をあげる
ヒヤリハット情報の活用のヒント
情報収集
整理・分類
原因分析
対策(取扱規程の見直し・改善・改訂)
「点検!」継続して安全管理措置に取り組む仕組み
情報漏えいが起きたときの対応
「漏れないようにすること」と「漏れたときのこと」
組織で対応しなければ、被害が拡大する
緊急対応(エマージェンシーレスポンス)の例
事後対応(インシデントレスポンス)の例
「点検!」ひとりで抱え込まず、組織で対応できるか?
組織で業務をおこなうリスク
情報漏えいが発生しやすいポイント
管理者がいないところから漏れる
「点検!」つなぎ目のリスクを管理できるか?
第5章 人的安全管理措置
安全管理措置としての研修
一度では浸透しない。状況だって変化する。
だれに、どんな内容の教育をおこなうのか?
監督者に対する研修
事務取扱担当者に対する研修
従業者に対する研修
「点検!」対象者に応じた研修が実施されているか?
秘密保持誓約書を活用する
めったに書かないから効果がある
秘密保持誓約書のポイント
「点検!」秘密保持誓約書の3つのメリットを生かしましょう。
就業規則と懲戒規定
就業規則等に書くこと
就業規則 懲戒規定の注意ポイント
極端な厳罰規定に基づく懲戒は、無効になる可能性が高くなる
減給の制裁について
賠償予定の禁止
モデル就業規則について
「点検!」法に基づいた適正な規定を定めていますか?
第6章 物理的安全管理措置
区分けして効率よく管理する
場所で管理するメリット
場所を管理することでリスクを小さくするテクニック
特定個人情報等を取り扱うときだけ、管理された場所でおこなう。
保管場所を重要度・使用頻度等で区分する
いつ、だれが特定個人情報等を使っているか、見えるようにする。
「点検!」リスクを少なくする区分を工夫しよう
定位置管理で作業環境を整える
場所を決めるとリスクが減る
安全管理措置としての定位置管理
紛失、紛れ込みを減らす定位置管理
「仕組み」と「環境」を整備する定位置管理
「点検!」定位置管理を徹底しよう
第7章 技術的安全管理措置
インターネットからの情報漏えい
インターネットにつながなければ安全ですか?
知らない間につながっている事もある。
インターネットにつながっているということ
パソコン以外もつながっている
「漏えい等」にもいろいろある
「点検!」社内の機材を確認しよう
全てをデジタルでする必要はない
現場・現状にあった方法を考えよう
専門家にまかせることと、みんなで工夫すること
「点検!」できることから工夫しましょう
おわりに
注意事項
著者略歴
奥付
はじめに
本書は、「マイナンバー対応ガイドシリーズ」の第3弾です。
第1弾 【準備・体制整備編】](http://www.amazon.co.jp/dp/B00ZROUFUO)
第2弾 【対応実務編】](http://www.amazon.co.jp/dp/B010A15AKI)
本書のテーマは、「安全管理措置」です。マイナンバー対応業務を「点検」して、適切な安全管理措置を検討することが目的です。ガイドライン等を参考にして、マイナンバー対応を一通り終えた中小企業を対象にしています。
「マイナンバー対応、おわりましたか?」
筆者は社会保険労務士として、いろいろな会社の経営者・実務担当者に問いかけてみましたが、ほとんどが顔をくもらせて「ま・・まぁ一応やってますけど・・・」といったあいまいな答えを返すばかりです。無理もありません。会社の経営者・実務担当者を不安にさせるような大事件が起こったのです。日本年金機構による125万件の個人情報流出事件です。マスコミは連日報道をおこない、機構には問い合わせや苦情の電話が殺到しました。受け付けのために専用電話を設置し、1,000人態勢で対応をおこなったとのことです。
事件発生後、すぐに「マイナンバー導入を延期して、個人情報保護の観点から制度見直しをおこなうべきだ」という声があがりましたが、結局、導入時期の見直しはおこなわれませんでした。
これだけ世間の関心が集中している中、「もし、自分の会社がマイナンバー漏えい事件の第1号になったら・・・」そのような状況は悪夢でしかありません。ほとんどの会社にとって、存続にかかわる大事件に発展する可能性が十分にあるのです。
特に、中小企業は、時間も費用も人員も非常に限られています。はたして自社のマイナンバー対応は大丈夫なのか、確信が持てないとしても仕方ないのではありませんか?
本書は(そしてマイナンバー対応ガイドシリーズは)、「うまくいってあたりまえ。なにか問題があれば責任を追及される」状況で、むずかしい対応を迫られているすべての中小企業の経営者・実務担当者のご負担が、すこしでも軽くなることを願って書きました。やみくもにガイドライン等の「手法の例示」をおこなうのではなく、情報セキュリティのポイントをしぼって対応する方法をご提案します。
現状をひとつひとつ「点検」しながら、安全管理措置を講じていきましょう。
【 目 次 】
はじめに
第1章 安全管理をどのように行うか
安全管理の基本
個人情報は、どのようにして漏れているか?
会社が安全管理措置に組織で取り組まなければならない理由と、問われる法的責任
安全管理とは、一言でいえばこういうこと
安全管理措置とドべネックの桶(リービッヒの最少律の法則)
安全管理のために業務を改善する(8原則)
「点検!」個人のミスを責めるだけの安全管理になっていないか?
第2章 基本方針の策定
基本方針は、安全管理措置の基盤としての役割を果たす
組織的な対応でなければ、リスクは減らせない
猫の首に鈴をつけるのは誰か?
「点検!」基本方針が「安全管理措置」の基盤的役割を果たせているか?
基本方針は、安全管理措置の羅針盤
基本方針は守らなければならない
ルールはこうして破られる
「点検!」基本方針が「建前」や「理想」になっていないか?
基本方針は、最優先で守らなければならない
いつでも基本方針を最優先すべき
「仕事と私、どっちが大事なの?」問題
「点検!」「基本方針が最優先」の例外ができていないか?
第3章 取扱規程の策定
安全管理措置としての「取扱規定の策定」
現状を踏まえた取扱規程を策定することでリスクを減らす
ポイントは「仕組み」と「環境」の整備
「点検!」手続きを決めただけの取扱規程になっていないか?
取扱規定の「決め方」と「仕組み」の関係
法令ますます彰かにして、盗賊あること多し
確実性と便宜性をどのように両立させるか?
「点検!」確実に規定し、柔軟に改訂できるようになっているか?
取扱規程でなにを守るか
守るべき対象を明らかにする
紙媒体とデジタル媒体の特徴と安全管理措置
「点検!」すべての媒体・経路が対象になっているか?
業務フローとチェックリスト
仕事を明確にしてリスクを減らす
仕事を明確にする2つのツール(業務フローとチェックリスト)
業務フロー
チェックリスト
「点検!」業務フローとチェックリストで、リスクを減らせるようになっていますか?
情報は、管理されていないところから漏れる
意外なところに特定個人情報が隠れてる
見落としやすい個人情報とリスクを軽減する工夫
見落としやすい特定個人情報
リスクを軽減する工夫
「点検!」見落としはないか確認する
第4章 組織的安全管理措置
安全管理措置に継続的に取り組む仕組み
安全管理措置のPDCAを回して精度をあげる
ヒヤリハット情報の活用のヒント
情報収集
整理・分類
原因分析
対策(取扱規程の見直し・改善・改訂)
「点検!」継続して安全管理措置に取り組む仕組み
情報漏えいが起きたときの対応
「漏れないようにすること」と「漏れたときのこと」
組織で対応しなければ、被害が拡大する
緊急対応(エマージェンシーレスポンス)の例
事後対応(インシデントレスポンス)の例
「点検!」ひとりで抱え込まず、組織で対応できるか?
組織で業務をおこなうリスク
情報漏えいが発生しやすいポイント
管理者がいないところから漏れる
「点検!」つなぎ目のリスクを管理できるか?
第5章 人的安全管理措置
安全管理措置としての研修
一度では浸透しない。状況だって変化する。
だれに、どんな内容の教育をおこなうのか?
監督者に対する研修
事務取扱担当者に対する研修
従業者に対する研修
「点検!」対象者に応じた研修が実施されているか?
秘密保持誓約書を活用する
めったに書かないから効果がある
秘密保持誓約書のポイント
「点検!」秘密保持誓約書の3つのメリットを生かしましょう。
就業規則と懲戒規定
就業規則等に書くこと
就業規則 懲戒規定の注意ポイント
極端な厳罰規定に基づく懲戒は、無効になる可能性が高くなる
減給の制裁について
賠償予定の禁止
モデル就業規則について
「点検!」法に基づいた適正な規定を定めていますか?
第6章 物理的安全管理措置
区分けして効率よく管理する
場所で管理するメリット
場所を管理することでリスクを小さくするテクニック
特定個人情報等を取り扱うときだけ、管理された場所でおこなう。
保管場所を重要度・使用頻度等で区分する
いつ、だれが特定個人情報等を使っているか、見えるようにする。
「点検!」リスクを少なくする区分を工夫しよう
定位置管理で作業環境を整える
場所を決めるとリスクが減る
安全管理措置としての定位置管理
紛失、紛れ込みを減らす定位置管理
「仕組み」と「環境」を整備する定位置管理
「点検!」定位置管理を徹底しよう
第7章 技術的安全管理措置
インターネットからの情報漏えい
インターネットにつながなければ安全ですか?
知らない間につながっている事もある。
インターネットにつながっているということ
パソコン以外もつながっている
「漏えい等」にもいろいろある
「点検!」社内の機材を確認しよう
全てをデジタルでする必要はない
現場・現状にあった方法を考えよう
専門家にまかせることと、みんなで工夫すること
「点検!」できることから工夫しましょう
おわりに
注意事項
著者略歴
奥付
