マイナンバー特定個人情報取扱規程の解説(PDFファイル)

企業・医療法人・社会福祉法人のための
マイナンバー
特定個人情報取扱規程の解説
佐伯社会保険労務士事務所
大阪市北区梅田 1 丁目1番 3-500
大阪駅前第 3 ビル 5 階 10 号
TEL 06-6398-7185 FAX 06-6341-4613
*無断掲載・転載を禁止します。
The Social Security and Tax Number System
●はじめに
マイナンバー制度(社会保障・税番号制度)は、すべての会社(一般企業)や医療機関
(病院・クリニック)や社会福祉法人(介護施設)にとって大きな影響があります。
2015年10月から始まるマイナンバー(個人番号)通知までに、適切に対応するこ
とができるようにマイナンバー収集対象者(役員とパート等を含む社員・職員とその扶養
家族、報酬・料金・契約金等の支払調書、不動産関係の支払調書、株主等への配当、剰余
金の分配と基金利息の支払調書)のあらいだし、マイナンバー(特定個人情報)取扱の基
本方針の策定はすませておくようにするべきです。
また、マイナンバー制度は2016年1月からスタートしますが、その時までに特定個
人情報取扱規程の作成、および「特定個人情報等についての秘密保持に関する事項」を盛
り込むなど就業規則の整備をすませる必要があります。
特定個人情報取扱規程については、『特定個人情報の適正な取扱いに関する ガイドライ
ン(事業者編)
』の別添の「特定個人情報に関する安全管理措置(事業者編)
」
(内閣府の外
局になる特定個人情報保護委員会が作成)に「特定個人情報等の具体的な取扱いを定める
取扱規程等を策定しなければならない。取扱規程等の策定に当たっては、番号法及び個人
情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドラインを遵守する内容
のものとしなければならない」と書かれた文章を根拠に、取扱規程作成が義務づけられて
いると理解しています。
また、就業規則については、(とくに規定の追加は必要ないとされる人もいますが)取扱
規程と同様に「特定個人情報に関する安全管理措置(事業者編)
」は、就業規則等に「特定
個人情報等についての秘密保持に関する事項」を盛り込むことを求める記載がありますの
で、就業規則の整備も必要と考えています。
なお、マイナンバー制度の対応については、
「中小規模事業者」にあたる場合には緩和さ
れる箇所がありますので、まず中小規模事業者に該当するかどうか必ず確認してください。
中小規模事業者とは、個人番号利用事務実施者、委託に基づいて個人番号関係事務または
個人番号利用事務を業務として行う事業者、金融分野の事業者、個人情報取扱事業者事業
者を除く、従業員数が 100 人以下の事業者になります。
2015年6月1日
特定社会保険労務士
佐 伯 博 正
1 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●マイナンバー制度のプロセスとスケジュール
2013年
5月31日 マイナンバー法(番号法)公布
2014年
1月 1日 特定個人情報保護委員会設置
2015年
10月5日 マイナンバー(個人番号)通知の開始予定
2016年
1月 1日 マイナンバー(個人番号)利用の開始予定
●目
次
<解 説>
マイナンバー法と安全管理措置-----3
基本方針と特定個人情報取扱規程の策定-----4
組織的安全管理措置-----5
人的安全管理措置-----7
物理的安全管理措置-----8
技術的安全管理措置-----10
<記載例>
マイナンバー開始にともなう住民票確認のお願い-----12
マイナンバー通知カード保管のお願い-----13
2 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●マイナンバー法と安全管理措置
マイナンバー法における安全管理措置の考え方
マイナンバー法(番号法)は、マイナンバー(個人番号)を利用できる事務の範囲、特
定個人情報ファイルを作成できる範囲、また特定個人情報を収集・保管・提供できる範囲
等を制限しています。
したがって、事業者は、個人番号および特定個人情報(特定個人情報等)の漏えい、滅
失または毀損(情報漏えい等)の防止等のための安全管理措置の検討にあたり、次に掲げ
る事項を明確にすることが重要です。
1.個人番号を取り扱う事務の範囲
2.特定個人情報等の範囲
3.特定個人情報等を取り扱う事務に従事する従業者(事務取扱担当者)
なお、
「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事
業者の業務に従事している者をいいます。具体的には、社員や職員などの従業員のほか、
取締役、監査役、理事、監事、派遣社員等を含みます。
安全管理措置の検討手順
事業者は、特定個人情報等の適正な取扱いに関する安全管理措置について、次のような
手順で検討を行う必要があります。
1.個人番号を取り扱う事務の範囲の明確化
2.特定個人情報等の範囲の明確化
3.事務取扱担当者の明確化
4.特定個人情報等の安全管理措置に関する基本方針の策定
5.特定個人情報取扱規程等の策定
3 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●基本方針と特定個人情報取扱規程の策定
特定個人情報に関する基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むためには、基本方針
を策定することが重要です。基本方針に定める項目としては、次に掲げるものがあげられ
ます。
1.事業者の名称
2.関係法令・ガイドライン等の遵守
3.安全管理措置に関する事項
4.質問および苦情処理の窓口等
特定個人情報取扱規程等の策定
特定個人情報に関する事務の流れを整理し、
「特定個人情報等の具体的な取扱いを定める
取扱規程等を策定しなければならない」とされています。
特定個人情報取扱規程等は、次に掲げる管理段階ごとに、取扱方法、責任者・事務取扱
担当者及びその任務等について定めることが考えられます。また、具体的に定める事項に
ついては、安全管理措置を織り込むことが重要です。
1.特定個人情報を取得する段階
2.特定個人情報を利用を行う段階
3.特定個人情報を保存する段階
4.特定個人情報の提供を行う段階
5.特定個人情報削除・廃棄を行う段階
中小規模事業者における対応方法については、「特定個人情報等の取扱い等を明確化す
る」
、また「事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者
が確認する」とされています。
*特定個人情報保護委員会の見解は次のとおりです。
「中小規模事業者における対応方法」における「特定個人情報等の取扱い等を明確化す
る」とは、
(中小規模事業者に対しては)取扱規程等の策定を義務付けているものではなく、
文言のとおり、取扱いを明確にしていただければよいということを意味している。
また、取扱い等の明確化にあたっては、必ずしも、明文化する必要はなく、責任者や事
務取扱担当者などが明確になっていれば足りる。
なお、何かしらの書類において明文化することは、特定個人情報等の適正な取扱いを確
保するという観点から、有益。
4 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●組織的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる「組織的安全管理措置」
を講じる必要があり、特定個人情報取扱規程に組織的安全管理措置を明記します。
組織体制の整備
安全管理措置を講ずるための組織体制を整備しますが、組織体制として整備する項目は、
次に掲げるものがあげられます。
1.事務における責任者の設置および責任の明確化
2.事務取扱担当者の明確化およびその役割の明確化
3.事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
4.事務取扱担当者が特定個人情報取扱規程等に違反している事実または兆候を把握し
た場合の責任者への報告連絡体制
5.情報漏えい等事案の発生または兆候を把握した場合の従業者から責任者等への報告
連絡体制
6.特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
中小規模事業者については「事務取扱担当者が複数いる場合、責任者と事務取扱担当者
を区分することが望ましい」とされています。
取扱規程等に基づく運用
特定個人情報取扱規程等に基づく運用状況を確認するため、システムログ(システムが
記録する動作履歴。一般的には OS が稼働中に発生した重要な出来事を時系列に記録した
もの)または利用実績を記録する必要があります。記録する項目としては、次に掲げるも
のがあげられます。
1.特定個人情報ファイルの利用・出力状況の記録
2.書類・媒体等の持出しの記録
3.特定個人情報ファイルの削除および廃棄記録
4.削除および廃棄を委託した場合、これを証明する記録等
5.特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報シス
テムの利用状況(ログイン実績、アクセスログ等)の記録
中小規模事業者には「特定個人情報等の取扱状況の分かる記録を保存する」ことが求め
られています。
5 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備します。なお、取扱状況
を確認するための記録等には、特定個人情報等は記載しないようにする必要があります。
取扱状況を確認するための記録等としては、次に掲げるものがあげられます。
1.特定個人情報ファイルの種類、名称
2.責任者、取扱部署
3.利用目的
4.削除・廃棄状況
5.アクセス権を有する者
中小規模事業者には「特定個人情報等の取扱状況の分かる記録を保存する」ことが求め
られています。
情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生または兆候を把握した場合に、適切かつ迅速に対応するため
の体制を整備する必要があります。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点か
ら、事案に応じて、事実関係および再発防止策等を早急に公表することが重要です。
情報漏えい等の事案の発生時に、次のような対応を行うことを念頭に、体制を整備する
ことが考えられます。
1.事実関係の調査および原因の究明
2.影響を受ける可能性のある本人への連絡
3.特定個人情報保護委員会および主務大臣等への報告
4.再発防止策の検討および決定
5.事実関係及び再発防止策等の公表
中小規模事業者における対応方法としては「情報漏えい等の事案の発生等に備え、従業
者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく」必要があり
ます。
取扱状況の把握および安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直しおよび改善に取り組
む必要があります。
具体例としては、
「特定個人情報等の取扱状況について定期的に自ら行う点検または他部
署等による監査を実施すること」
、また「外部の主体による他の監査活動と合わせて、監査
を実施すること」も考えられます。
6 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために「人的安全管理措置」を講じ、マイ
特定個人情報取扱規程に人的安全管理措置を明記する必要があります。
事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう「事務取扱担
当者に対して必要かつ適切な監督を行う」ように求められています。
事務取扱担当者の教育
事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに
適切な教育を行うように求められています。
具体的には「特定個人情報等の取扱いに関する留意事項等について、従業者に定期的な
研修等を行うこと」
、また「特定個人情報等についての秘密保持に関する事項を就業規則等
に盛り込むこと」が考えられます。
特定個人情報等についての秘密保持に関する事項について就業規則への記載例としては、
「会社が定める『特定個人情報取扱規程』の各事項を遵守すること」
、また「在職中、退職
後を問わず、業務上知り得た秘密および個人情報を漏らさないこと」など。
7 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●物理的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために「物理的安全管理措置」を講じなけ
ればならない、また特定個人情報取扱規程に物理的安全管理措置を明記しなければならな
いとされています。
特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情
報システムを管理する区域(管理区域)および特定個人情報等を取り扱う事務を実施する
区域(取扱区域)を明確にし、物理的な安全管理措置を講ずるように求められています。
まず、管理区域に関する物理的安全管理措置としては、入退室管理および管理区域へ持
ち込む機器等の制限等が考えられます。また、入退室管理方法としては、ICカード、ナ
ンバーキー等による入退室管理システムの設置等が考えられます。
次に、取扱区域に関する物理的安全管理措置としては、壁または間仕切り等の設置及び
座席配置の工夫等が考えられます。
機器及び電子媒体等の盗難等の防止
管理区域および取扱区域における特定個人情報等を取り扱う機器、電子媒体および書類
等の盗難または紛失等を防止するために、物理的な安全管理措置を講ずる必要があります。
「特定個人情報等を取り扱う機器、電子媒体または書類等を、施錠できるキャビネット・
書庫等に保管する」
、「特定個人情報ファイルを取り扱う情報システムが機器のみで運用さ
れている場合は、セキュリティワイヤー等により固定する」こと等が考えられます。
電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体または書類等を持ち出す場合、容易にマイナンバ
ー(個人番号)が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講
ずる必要があります。
「持出し」とは、特定個人情報等を、管理区域または取扱区域の外へ移動させることを
いい、事業所内での移動等であっても、紛失・盗難等に留意する必要があります。
特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持出しデータの
暗号化、パスワードによる保護、施錠できる搬送容器の使用等が考えられます。ただし、
行政機関等に法定調書等をデータで提出するにあたっては、行政機関等が指定する提出方
法に従うことが求められます。
また、特定個人情報等が記載された書類等を安全に持ち出す方法としては、封緘、目隠
しシールの貼付を行うこと等が考えられます。
8 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
中小規模事業者における対応方法としては、特定個人情報等が記録された電子媒体また
は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・
盗難等を防ぐための安全な方策を講ずることが必要です。
個人番号の削除、機器および電子媒体等の廃棄
個人番号関係事務または個人番号利用事務を行う必要がなくなった場合で、所管法令等
において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに
復元できない手段で削除または廃棄しなければなりません。
個人番号もしくは特定個人情報ファイルを削除した場合、または電子媒体等を廃棄した
場合には、削除または廃棄した記録を保存し、また、これらの作業を委託する場合には、
委託先が確実に削除または廃棄したことについて、証明書等により確認する必要がありま
す。
例としては、
「特定個人情報等が記載された書類等を廃棄する場合、焼却または溶解等の
復元不可能な手段を採用する」、
「特定個人情報等が記録された機器および電子媒体等を廃
棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可
能な手段を採用する」こと。
また、
「特定個人情報ファイル中の個人番号または一部の特定個人情報等を削除する場合、
容易に復元できない手段を採用する」、「特定個人情報等を取り扱う情報システムにおいて
は、保存期間経過後における個人番号の削除を前提とした情報システムを構築する」、「個
人番号が記載された書類等については、保存期間経過後における廃棄を前提とした手続を
定める」こと。
中小規模事業者における対応方法としては、「特定個人情報等を削除・廃棄したことを、
責任ある立場の者が確認する」ように求められています。
9 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●技術的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために「技術的安全管理措置」を講じ、特
定個人情報取扱規程に技術的安全管理措置を明記しなければならない、とされています。
アクセス制御
情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取
扱担当者および当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切な
アクセス制御を行うことが求められます。
アクセス制御を行う方法としては、次に掲げるものがあげられます。
1.個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する方法
2.特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定する方法
3.ユーザーIDに付与するアクセス権により特定個人情報ファイルを取り扱う情報シ
ステムを使用できる者を事務取扱担当者に限定する方法
中小規模事業者における対応方法としては、「特定個人情報等を取り扱う機器を特定し、
その機器を取り扱う事務取扱担当者を限定することが望ましい」
、また「機器に標準装備さ
れているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う
事務取扱担当者を限定することが望ましい」とされています。
アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有す
る者であることを、識別した結果に基づき認証する必要があります。
事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等
が考えられます。
中小規模事業者における対応方法としては、「特定個人情報等を取り扱う機器を特定し、
その機器を取り扱う事務取扱担当者を限定することが望ましい」、「機器に標準装備されて
いるユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務
取扱担当者を限定することが望ましい」とされています。
外部からの不正アクセス等の防止
情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを
導入し、適切に運用することが求められています。
情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正
アクセスを遮断するように、情報システムおよび機器にセキュリティ対策ソフトウェア等
(ウイルス対策ソフトウェア等)を導入するように、導入したセキュリティ対策ソフトウ
ェア等により、入出力データにおける不正ソフトウェアの有無を確認する必要があります。
10 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
また、機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフ
トウェア等を最新状態とするように、ログ等の分析を定期的に行い、不正アクセス等を検
知するようにしなければなりません。
情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報
漏えい等を防止するための措置を講ずる必要があります。
通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられます。
情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、デー
タの暗号化またはパスワードによる保護等が考えられます。
11 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●マイナンバー制度開始にともなう住民票確認のお願い(記載例)
2015 年(平成 27 年)年○月○日
社員(職員)の皆さんへ
株式会社○○○(○○法人○○○)
総務部長(事務長)○○○○
マイナンバー制度開始にともなう住民票確認のお願い
2016年(平成28年)1月よりマイナンバー制度がはじまります。マイナンバーと
は、住民票を有する全ての国民に一人一人ずつ付与され、社会保障、税、災害対策といっ
た分野で活用される番号のことです。この番号が2015年(平成27年)10月から全
員に通知されることになっています。
マイナンバーは、住民票に記載されている住所に各市町村から「通知カード」の送付を
受けることにより通知されます。
まずは、住民票の住所を確認してください。現在、住んでいるところと住民票の住所が
異なる場合には、下記のように手続きを行ってください。この手続きを行っていない場合
には、マイナンバーの通知カードが間違った住民票の住所に送られてしまいますので、後
になって煩雑な手続きを行う必要がでてきます。
記
1
同一市町村で住所変更する場合
同一市町村で住所変更する場合、その市町村に転居届を提出します。
2
他の市町村へ住所変更する場合
住民票が現在の実際の住所とは異なる市町村にある場合、住民票のある従前の住所地の
市町村に転居届を提出したうえで、現在の住所地の市町村に転入届を提出します。
以上
12 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.
The Social Security and Tax Number System
●マイナンバー通知カード保管のお願い(記載例)
2015 年(平成 27 年)年○月○日
社員(職員)の皆さんへ
株式会社○○○(○○法人○○○)
総務部長(事務長)○○○○
マイナンバー通知カード保管のお願い
2016年(平成28年)1月よりマイナンバー制度がはじまります。マイナンバーと
は、住民票を有する全ての国民に一人一人ずつ付与され、社会保障、税、災害対策といっ
た分野で活用される番号のことです。この番号が2015年(平成27年)10月から全
員に通知される予定です。
通知は、市区町村から、住民票に登録されている住所あてにマイナンバーが記載された
「通知カード」を送ることによって行われます。マイナンバーは一生使かうものです。マ
イナンバーが漏えいして、不正に使われるおそれがある場合を除いて、番号は一生変更さ
れませんので、マイナンバーは廃棄しないで、大切に保管してください。
なお、マイナンバーは、今後の所得税法等に基づき会社(法人)が行う源泉徴収に関す
る事務、また雇用保険法等に基づき会社(法人)が行う社会保険関係事務で必要になりま
す。その際には、あらためてご連絡しますので、ご協力をよろしくお願いします。
以上
*無断掲載・転載を禁止します。
●マイナンバー制度のスタートが近づいていますが、マイナンバー制度への対策が急務と
なっています。
●マイナンバー制度や特定個人情報取扱規程や就業規則の規定などの対応は、専門の社会
保険労務士にご相談ください。
佐伯社会保険労務士事務所 大阪
Tel:06-6398-7185
Mobile:090-3822-8638
E-mail:[email protected]
URL:www.roumupro.com/
13 Copyright © 2015 Saeki Labor Consultant Office All rights reserved.