Pマークのリスク分析において、マイナンバー(特定個人情報)は対象に含めるべきですか?
PMSリスク分析対策計画表につきまして、記入例にはマイナンバーの取り扱いに関するリスクが記載されていないようなのですが、特に記載は必要はないのでしょうか。
マイナンバーの取扱いに関する記載も必要になります。なお、「PMSリスク分析対策計画表」の記入例は、様式をどのように記入するかを示した例であります。組織の諸事情により、これらの記載内容は異なってくることをご理解ください。
まず御社におけるマイナンバーの取扱状況を把握し、どのようなリスクがあるかを把握する必要があるかと思います。それをもとに、発生するかもしれないリスクを洗い出し、対策を講じることになります。
例えば、リスクの例としては、以下のようなものが考えられます。
- 外部への漏洩(ハッキング、内部者の不正持ち出し、紛失など)
- 不正取得や不正利用
- 不正なアクセス、パスワードの流出
- システム障害や誤動作(入力ミス、プログラムのバグなど)
- ハードウェア故障、自然災害
など
対策の例としては、以下のようなものが考えられます。
- マイナンバーに関する規程の整備
- 教育研修の実施
- 責任者の明確化
- アクセス権限の管理やログの記録と監視など(情報システムを使っている場合)
- 書類の保管場所の管理
など
以上、ご参考ください。
