マイナンバーの物理的安全管理措置

特定個人情報等の情報漏洩等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域（以下「管理区域」という。）及び特定個人情報等を取り扱う事務を実施する区域（以下「取扱区域」という。）を明確にし、物理的な安全管理措置を講じます。

【手法の例示】
・管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ持ち込む機器等の制限等が考えられる。
・入退室管理方法としては、ＩＣカード、ナンバーキー等による入退室管理システムの設置等が考えられる。
・取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及び座席配置の工夫等が考えられる

管理区域および取扱区域における特定個人情報等を取り扱う機器、電子媒体および書類等の盗難または紛失等を防止するために、「物理的な安全管理措置」を講ずることが求められます。

【手法の例示】
・ 特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。
・特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定すること等が考えられる

特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じます。
「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要があります。

【手法の例示】
・特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等が考えられる。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従う。
・特定個人情報等が記載された書類等を安全に持ち出す方法としては、封緘、目隠しシールの貼付を行うこと等が考えられる。

特定個人情報等が記録された電子媒体及び書類等について、法令等により規定されている保存期間を経過し、保管する必要がなくなった場合、できるだけ速やかに、個人番号が復元できない手段で消去又は廃棄します。

個人番号又は特定個人情報ファイルを消去した場合、又は電子媒体等を廃棄した場合、消去又は廃棄した記録を保存します。また、これらの作業を委託する場合、委託先が確実に消去又は廃棄したことについて、証明書等により確認します。

【手法の例示】
・特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
・特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ消去ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
・特定個人情報ファイル中の個人番号又は一部の特定個人情報等を消去する場合、容易に復元できない手段を採用する。
・特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の消去を前提とした情報システムを構築する。
・ 個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした保管手続を定める。