事業者は、特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する「管理区域」及び特定個人情報等を取り扱う事務を実施する「取扱区域」を明確にし、物理的な安全管理措置を講ずる必要があります。
≪ ガイドラインの例示 ≫
管理区域等の管理方法
管理区域は、入退室管理及び管理区域へ持ち込む機器等の制限等。また、入退室の管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等がある。
取扱区域に関する物理的安全管理措置として、壁又は間仕切り等の設置及び座席配置の工夫等を行う。
確認する点
マイナンバーを取り扱う区域を物理的に分けることが重要です。人的安全管理措置で設定されたマイナンバー事務取扱担当者以外が簡単に見ることができないような工夫をしましょう。
また、以下の図では、レイアウト変更を行って、来客スペースと作業スペースを分け隔てています。
≪ 具体的な対応例 ≫
- 「管理区域」「取扱区域」を定義し、取扱規程や業務マニュアル等に明記する。
- 「管理区域」への入退制限や入退記録のための仕組み(入退室管理システム、入退室記録簿等)の導入を検討する。
- 特定個人情報等の取扱いの留意事項(「管理区域」の入退制限、「取扱区域」の壁又は間仕切り等の設置や座席配置等)を業務マニュアル等に明記する。
- 「管理区域」の入退室記録簿
- 「管理区域」の鍵・ IDカードなどの貸与記録簿
- 本人確認、特定個人情報取扱マニュアル(管理区域、取扱区域の作業環境等)
