平成28年1月からマイナンバー制度が始まります。マイナンバー制度については、制度概要や企業への影響がどのようなものかといった記事はたくさん見かけるようになりましたが、「中小企業でマイナンバー制度に対してどういう対応をしたら良いのかわからない?」と不安になる方もおられると思われます。
似たような法令である個人情報保護法では小規模事業者(※)を「個人情報取扱事業者」の適用対象外としています。
(※) 事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日においても5000件を超えない事業者(個人情報保護法2条3項5号・同法施行令2条)。
しかし、番号法(マイナンバー制度)ではこのような小規模事業者を除外する規定がありませんので、上場しているような大企業だけでなく、中小企業はもちろん、1人会社であっても個人の番号利用における適切な管理や税務・社会保険等に係わる新たな事務について、形式上、対応していかなければなりません。
そこで、中小事業者のマイナンバー制度対応の要点について、安全管理対応を中心に以下説明をさせていただきます。
≪マイナンバー制度と中小規模事業者≫
1.中小規模事業者(中小事業者)とは
中小規模事業者については、事務で取扱う個人番号の数が少なく、また、特定個人情報等を取扱う従業者が限定的であること等から、『特定個人情報の適正な取扱いに関するガイドライン』(以下、ガイドラインという)には、特例的 な対応方法が示されています。
なお、中小規模事業者が、特例的な対応方法ではなく、ガイドラインに示す手法の例示を採用することも、より望ましい対応であるとされています。
特定個人情報の適正な取扱いに関するガイドライン(事業者編)は下記をご参照ください。
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
※中小規模事業者とは、従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいいます(以下、中小事業者という)。
・個人番号利用事務実施者
・委託事業者(個人番号関係事務等を業務とする)
・金融分野の事業者
・個人情報取扱事業者
2.中小事業者の安全管理対応
(1)基本方針・取扱規程
中小事業者は、基本方針や取扱規程の作成は義務ではありませんが、従業員の教育などのために作成することが考えられます。
また、既存の業務マニュアル、業務フロー図、チェックリスト等に、マイナンバーの取扱いを加えることも考えられます。
さらに、規程を作成するしないにかかわらず、少なくとも、以下の事項に留意する必要があります。
・特定個人情報等の取扱い等を明確化する。
・事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
(2)組織的・人的安全管理措置
①組織体制の整備
事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分し、業務のチェック体制をもつことが望ま しい。
②取扱規程に基づく運用、取扱状況を確認する手段の整備
特定個人情報等の取扱状況の分かる記録を保存します。
例えば、次のような方法が考えられます。
・業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の作成日等の取扱状況等を記録する。
・取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。
③情報漏えい等事案に対応する体制の整備
情報漏えい等の事案に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておきます。
④事務取扱担当者の監督・教育
マイナンバーの取扱いルールについて、従業員に対する周知や教育によって徹底します。
(3)物理的・技術的安全管理措置
①特定個人情報等を取扱う区域の管理
事業者の規模及び特定個人情報等を取扱う事務の特性等によりますが、例えば、壁又は間仕切り等の配置及び覗き見られない場所等の座席の配置の工夫等が考えられます。
②機器及び電子媒体等の盗難等の防止
事業者の規模及び特定個人情報等を取扱う事務の特性等によりますが、例えば、書類等を盗まれないように書庫等のカギを閉める等が考えられます。
③電子媒体等を持ち出す際の漏えい等を防止
特定個人情報等があ記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入しカバンに入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずることが考えられます。置き忘れ等にも気をつけます。
④個人番号の削除、機器・電子媒体等の廃棄
特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認することが大切です。
⑤アクセス制御、アクセス者の識別と認証
担当者以外の者に勝手に見られないようにすることが大切です。
具体的な対応としては、
・特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定することが望ましい。
・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取扱う事務取扱担当者を限定することが望ましい。
⑥外部からの不正アクセス等の防止、情報漏えい等の防止
インターネットにつながっているパソコンで作業を行う場合の対策です。
例えば、次のような方法が考えられます。
・ウイルス対策ソフトウェア等を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態にする。
・データの暗号化又はパスワードによる保護等を行う。
3.本人確認(番号確認・身元確認)
個人番号の提供を受けた事業主は、本人確認を行わなければなりません。提供を受けた個人番号が、確かにその本人のものであることの確認です。
個人番号カードの提示があれば問題ありません。カードに個人番号と顔写真がありますので、容易に確認することができます。
通知カードの場合は、顔写真がありませんから、通知カードとあわせて運転免許書等の顔写真入りの身分証明書で確認します。
顔写真入りの証明書を持っていない場合等についても、番号法施行規則で詳細な手続が規定されています。
また、本人確認の際に、「本人確認した」という記録のために、個人番号カードのコピーをし、それを保管することは可能です(コピーを保管する法令上の義務はありません)。ただし、個人番号を通知した利用目的以外に利用しないこと、安全に保管すること、所定の期間を経過した場合には廃棄すること等、適正な取扱いが求められます。
以上