もうすぐ始まるマイナンバー(番号制度)3 ナンバーの利用と管理

 

前回の投稿では、マイナンバーが企業経理実務に与える影響についてご説明しました。

今回は、取得したマイナンバーの管理について、簡単に触れてみたいと思います。

 

 

■特定個人情報

個人番号をその内容に含む個人情報とされています。

この特定個人情報については、特定個人情報保護委員会より、「特定個人情報の適切な取扱いに関するガイドライン」が公表されており、これに拠った取扱いが求められることになります。

 

 

 

■罰則の強化

従来の個人情報保護法では、罰則の適用が限定的でした。

一方でいわゆる「番号法」では、罰則が強化されています。
具体的には、正当な理由なく特定個人情報ファイルを提供したとき、不正な利益を図る目的で個人番号を提供・盗用したとき、人を欺く等して個人番号を取得したとき等が挙げられ、類似の刑の上限を引上げ、罰則を新設する等の措置がとられています。

 

 

■個人番号の利用は限定的

個人番号の目的外利用は禁じられています。

 

事業者は、「番号法」が限定的に定めた事務の範囲の中から、具体的な利用目的を特定して利用します。

事業者が個人番号を利用するのは、主に源泉徴収票等の税務関係書類や社会保障の手続書類に従業員等の個人番号を記載して、行政機関等や健康保険組合等に提出する場面が該当するでしょう。

事業者は、本人の同意があったとしても、例外として認められる場合を除き(災害時など限定的)、これらの事務以外で個人番号をすることができない点が、個人情報保護法と異なる点です。

特に、 個人番号を社員番号として利用してはならないとガイドラインに明記されているので、注意が必要です。

 

 

■外部専門家等への委託

企業の税務に関する事務や社会保険に関する事務を税理士や社会保険労務士に委託する場合が、これに該当します。

この場合委託者(企業)は、特定個人情報の安全管理措置が適切に講じられるよう受託者(税理士や社会保険労務士など)に対して必要かつ適切な監督を行わなければならない、とされています。
この監督を行わなかった等の理由により特定個人情報の漏洩等が発生した場合、番号法違反と判断される可能性があります。

 

では、「必要かつ適切な監督」とは何かというと、ガイドラインにおいては、

①委託先の適切な選定
②委託先に安全管理措置を遵守させるために必要な契約の締結
③委託先における特定個人情報の取扱状況の把握

が挙げられています。

 

①委託先の選定については、委託先の安全管理措置の水準が委託者自身が果たすべき義務と同等のレベルにあるかを、あらかじめ確認しなければならないとされます。
具体的には、委託先の設備・技術水準・委託先従業者に対する監督・教育の状況・その他委託先の経営環境等を確認することになるでしょう。

②委託契約の締結については、秘密保持義務・事業所内からの特定個人情報の持出しの禁止・特定個人情報の目的外利用の禁止・再委託における条件・漏えい事案等が発生した場合の委託先の責任・委託契約終了後の特定個人情報の返却又は廃棄・従業者に対する監督及び教育・契約内容の遵守状況について報告を求める規定等を盛り込まなければならないとされています。

さらに、これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましいともされています。

 

 

■安全管理措置の内容

特定個人情報等の安全管理措置について、以下の内容を盛り込むことが求められています。なお、中小規模事業者については、簡便的な対応が認められています。

 

①基本方針の策定

②取扱規程等の策定

③組織的安全管理措置
 a 組織体制の整備 安全管理措置を講ずるための組織体制を整備する。
 b 取扱規程等に基づく運用(取扱規程等に基づく運用状況を確認するため、システムログや利用実績の記録)
 c 取扱状況を確認する手段の整備(取扱状況を確認するための記録等には、特定個人情報等は記載しない)
 d 情報漏えい等事案に対応する体制の整備
 e 取扱状況の把握及び安全管理措置の見直し

④人的安全管理措置
 a 事務取扱担当者の監督
 b 事務取扱担当者の教育

⑤物理的安全管理措置
 a 特定個人情報等を取り扱う区域の管理
 b 機器及び電子媒体等の盗難等の防止
 c 電子媒体等を持ち出す場合の漏えい等の防止(事業所内での移動等であっても、紛失・盗難等に 留意する必要がある)

⑥個人番号の削除、機器及び電子媒体等の廃棄(これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する)

⑦技術的安全管理措置
 a アクセス制御
 b アクセス者の識別と認証
 c 外部からの不正アクセス等の防止
 d 情報漏洩等の防止

 

 

■特例措置が認められる中小規模事業者とは

中小規模事業者には特例による簡便的な措置が認められており、ここで中小規模事業者とは、従業員の数が100人以下の事業者で次に掲げる事業者を除く事業者をいいます。

 

 

①個人番号利用事務実施者(税務署・年金事務所など)

②委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者

③金融分野の事業者

④個人情報取扱事業者(個人情報保護法:5,000件を超える個人情報データベース等を事業の用に供している事業者)

 

上記②より、委託を受けた税理士や社会保険労務士は特例措置の対象外となります。

 

 

以上、さらりとではありますが、3回にわたってマイナンバー制度の概要についてお伝えしてみました。

詳しく知りたい方はガイドライン等を熟読してみることをオススメします。

 

 

Follow me!