民間事業者におけるマイナンバー ガイドラインへの対応準備 弁護士法人第一法律事務所 弁護士・システム監査技術者 福 本 洋 一 1 はじめに マイナンバー法の民間事業者に対する影響 実際に従業員等から個人番号の提供を受けて、これを給与 所得の源泉徴収票、給与支払報告書、健康保険・厚生年金 保険被保険者資格取得届等の必要な書類に記載して、各 行政機関(税務署長、市区町村長、日本年金機構等)に提 出する事務(個人番号関係事務)を行うのは、あくまで民間 の事業者であり、民間事業者も個人番号を保有することに なる。 個人番号の保護のための情報管理 に関する規制は民間事業者にも及ぶ 1 2 事業者等において個人番号を利用する事務 出典:内閣官房 社会保障改革担当室等「マイナンバー概要資料」(平成26年11月版) 2 3 施行のロードマップ(案) 出典:内閣官房 社会保障改革担当室等「マイナンバー概要資料」(平成26年11月版) 3 マイナンバー法による個人情報の管理 4 1 個人情報取扱事業者以外の事業者にも規制拡大 個人情報取扱事業者以外の事業者にも規制拡大 個人情報保護法では... 国・地方公共団体等を除き、過去6ヶ月間において1 度でも5,000人分を超える個人情報をデータベース 化してその事業活動に利用している者のみが保護 法による義務を負う(但し、保護法の改正骨子案に よれば廃止される見通し) マイナンバー法では... 事業や取り扱う個人情報の規模に関係なく 全ての事業者が対象となる 5 2 個人番号等の取扱いに関する義務 個人番号関係事務を行う者(事業者等)の義務 ① 事務に必要な限度での利用に制限 ② 事務の委託先に対する必要かつ適切な監督 ③ 個人番号の適切な管理のために必要な措置 ④ 個人番号の取得時の本人確認の措置 ⑤ 特定個人情報のデータベースの作成禁止 主体に限定のない義務(何人も) ① 個人番号の提供の求めの制限 ② 特定個人情報の提供の制限 ③ 特定個人情報の収集・保管の制限 6 3 罰則 個人番号利用事務・関係事務を行う者の罰則 ① 正当な理由なく特定個人情報ファイルを提供 → 4年以下の懲役・200万円以下の罰金(併科) ② 不正な利益を図る目的で個人番号を提供又は盗用 → 3年以下の懲役・150万円以下の罰金(併科) 主体に限定なし(何人も) ① 人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、 施設への侵入等により個人番号を取得 → 3年以下の懲役・150万円以下の罰金 ② 偽りその他不正の手段により個人番号カードを取得 → 6月以下の懲役又は50万円以下の罰金 7 4 マイナンバーガイドライン(事業者) ガイドラインの適用対象 一般の事業者向け 「 特定個人情報の適正な取扱いに関するガイドライン(事 業者編)」(平成26年12月11日) (別添)特定個人情報に関する安全管理措置(事業者編) 併せてガイドラインに関するQ&Aも公表されている 中小規模事業者向け 上記ガイドラインでは、中小規模事業者における安全管理 措置の対応方法を別途定めている 金融機関向け 「(別冊)金融業務における特定個人情報の適正な取扱い に関するガイドライン」(平成26年12月11日) 8 4 マイナンバーガイドライン(事業者) 特定個人情報の適正な取扱いに関するガイドライン(事業者編) 特定個人情報の利用制限 ・個人番号の利用制限 ・特定個人情報ファイルの作成の制限 特定個人情報の安全管理措置等 ・委託の取扱い ・安全管理措置 特定個人情報の提供制限等 ・個人番号の提供の要求 ・個人番号の提供の求めの制限・提供の制限 ・収集保管の制限 ・本人確認 9 特定個人情報の利用制限 10 1 事務に必要な限度での利用に制限 ・個人番号を利用できるのは、従業員等の個人番号を給与所得の 源泉徴収票等の書類に記載して行政機関等に提出する事務のみ で、それ以外に利用することは許されない ・個人番号の利用目的の変更には本人への通知等を要する (社内LANや就業規則による特定・通知等など) ・従業員の扶養親族等の本人から直接取得しない場合でも、利用目 的の通知等を要するため、保護法上の通知等と同様の対応が必 要 想定される個人番号を利用する事務の洗出し 利用目的としての本人への通知等 11 2 本人の同意による例外の排除 ・個人情報保護法とは異なり、本人の同意があったとしても、制限さ れた事務以外での利用や第三者提供はできない ・例外としては、①金融機関が激甚災害時等に金銭の支払を行う 場合、②人の生命・身体・財産の保護のために必要がある場合 であって、本人の同意があるか、本人の同意を得ることが困難で ある場合 個人番号の取扱いについては、本人の同意を得た としても免責されないことについての社員教育 12 3 特定個人情報のデータベースの作成禁止 ・個人番号関係事務に必要な範囲を超えた個人番号を含むデータ ベースを作成してはならない ・既存のデータベースに個人番号を追加することは可能であるが、 個人番号関係事務以外の事務で個人番号を利用できないように 適切にアクセス制限等を行う必要がある ・個人番号を仮名化して保管し、その仮名化した情報と元の個人番 号を照合するための照合表を、個人番号関係事務の範囲内で作 成することは可能 ・障害対応として、個人情報ファイルのバックアップファイルを作成 することは可能 個人番号を管理するデータベースのシステム対応 (個人番号へのアクセス制限等) 13 特定個人情報の安全管理措置等 14 1 安全管理措置の検討手順 ・個人番号を取り扱う事務の範囲の明確化 ・特定個人情報等の範囲の明確化 ・事務取扱担当者の明確化 ・基本方針の策定 既存のプライバシーポリシーの改正でも可 ・取扱規程等の策定 既存の個人情報保護にかかる取扱規程への追記でも可 個人番号関係事務の処理に関する規程の整備 (個人番号の取得時の本人確認手続、データベース作成の禁止、 収集・保管の制限等は、保護法においては定めがないため注意) 15 2 委託先の監督 ・委託者には、委託先においてマイナンバー法で求められている安全 管理措置が講じられているかを監督する義務 ・委託契約の内容として、①業務の範囲についてマイナンバー法で認 められる事務に限定、②事業所内からの特定個人情報の持出しの 禁止、③再委託における条件、④漏洩事案等が発生した場合の委 託先の責任、⑤従業者に対する監督・教育、⑥契約内容の遵守状 況についての報告義務等を盛り込むことが求められる ・クラウドサービス事業者等に対する委託先の監督は、契約条項に よって当該事業者が個人番号をその内容に含む電子データを取り 扱わない旨が定められており、適切にアクセス制御を行っている場 合に限って不要となる 委託先の洗出し・契約内容の確認・見直し交渉 委託先の情報管理体制の評価・委託先の見直し 16 3 再委託の取扱い ・委託者に再委託先が十分な能力を有しているかを検討させるため、 再委託には最初の委託者の許諾が要件 (A→B→C→Dと順次委託:いずれの再委託にもAの許諾が必 要・AにはC・Dも間接的に監督する義務) 再委託の有無の確認・再委託先の評価 委託先との再委託の条件の見直し交渉・ 再委託の中止の要求・委託先の見直し 17 4 個人番号の削除、機器・電子媒体等の廃棄 ・個人番号を利用する必要がなくなった場合には、復元不可能な手 段で個人番号を削除・廃棄し、その記録を保存 ・削除・廃棄を委託する場合には、委託先から廃棄証明書等を受領 して確認 社内規程における個人情報の廃棄方法の確認 個人番号の廃棄の記録に関するルールの追加 削除・廃棄の委託先への廃棄証明書等の発行義務 18 特定個人情報の提供制限等 19 1 個人番号の提供の要求 ・個人番号関係事務の処理に必要な場合に限り個人番号の提供を 求めることが可能 ・取得時期は、事務の発生時が原則だが、契約締結時等の事務の 発生が予想できた時点で求めることは可能 ※ ※ 内定者については、正式な内定通知がなされ、入社に関する 誓約書が提出された場合等の確実に雇用されることが予想さ れる場合は、提供を求めることは可能 ※ 従業員持株会は、従業員の入社時ではなく、株主になった時 点で提供を求めることが可能 ※ 人材派遣会社は、原則として登録時には個人番号の提供を求 めることはできないが、登録時しか本人確認の上での取得の機 会がなく、近い将来雇用契約の成立の蓋然性が高い場合には、 提供を求めることが可能 20 2 個人番号の提供の求めの制限 ・出向・転籍者の個人番号については、出向元から出向先に直接受け 渡すことは不可(出向先が新たに本人から取得) ・グループ会社の従業員等の個人番号を共有データベースで管理する ことは、各グループ会社が自社の従業員以外の個人番号を閲覧でき ないシステムであれば可能 個人番号に関する社内教育等 (個人番号の具体的な取得時期や方法、取得時の本人確認手順、 個人番号の移送・保管方法) 出向者の個人番号の受渡ルールの整備 グループ会社内の従業員情報の管理委託契約の確認 グループ内の共有データベースのアクセス権限の確認 21 3 収集・保管制限 ・個人番号関係事務に用いる場合以外は、個人番号の収集や保管 は禁止(個人番号の提示を受けることは可だが、コピーしたり、手 元に控えることは不可) ・マイナンバー法上の本人確認の措置を実施するに当たり、本人確 認の記録を残すためにコピーを保管することは可能 ・所管法令において定めている保管期間を経過した時点で、速やか に個人番号を削除・廃棄 ・廃棄までの期間については、安全性及び事務の効率性等を勘案 して事業者で判断(毎年度末に廃棄を行う等の例示) 社内規程における個人番号の記載される帳票類の 保管期間の確認・保管期間の満了時の把握方法 22 4 個人番号の取得と本人確認 ・個人番号を取得する際には、対面の場合には、個人番号カードの提 示又は通知カードの提示+身元確認書類(運転免許証等/雇用関 係にある等により人違いでないことが明らかな場合には省略可)の 提示等による本人確認が必要 ・原則として、対面・郵送(書面は写しでも可)かオンライン(電子署名を利 用)によって個人番号を取得することが必要 ・電話による個人番号の聴取は、一度本人確認を行った上で、データベー スに本人の個人番号が既に登録されており、電話で聴取した個人番号 との照合が可能な場合において、本人しか知り得ない事項等の申告を 受けることで身元確認を行って取得する場合 具体的な本人確認手続の選択と社員教育 (事業所が多数や広域にある場合、従業員の配偶者等からの取得の場 合、配当を支払う株主や依頼した弁護士、税理士や社労士、賃貸不 動産の賃貸人等からの取得の場合) 23 4 個人番号の取得と本人確認 事業者が従業員の配偶者等の個人番号を取得するに当たり、 配偶者等の本人確認を行う義務を負うか(本人の代理人からの提 供となるか)は、利用される事務によって異なる ※ ※ 従業員からの扶養親族の個人番号を扶養控除等申告書 に記載して提出を受ける場合には、従業員等は自ら個人 番号関係事務実施者として、扶養親族から個人番号の提 供を受けて、勤務先に提出するため、勤務先が扶養親族 の本人確認を行う必要はない ※ 従業員等から第3号被保険者(配偶者)に関する届出を 受ける場合には、第2号被保険者である従業員等は、第 3号被保険者本人の代理人として勤務先に提出するため、 勤務先にて配偶者の本人確認(従業員を代理人とする取 得)を行う必要がある 24 準備にあたっての留意点 ① 準備対応の内容が特定の部門に限定されない ▶ 具体的な準備対応の全体を管理する部署や責任者を設置するこ とが必要 ② 個人番号の取扱いに対する厳しい規制(刑事罰) ▶ 事務処理上のミスを防ぐために、個人番号に関する事務や個人 番号の保管等に携わる担当者に対する教育の実施が必要 ③ グループ会社内の情報管理に対する見直し ▶ マイナンバー法では、本人の同意や共同利用によって第三者提供 が認められないため、グループ内であっても個人番号を含む個人 情報の管理については、各社毎に考えることが必要 25
© Copyright 2024 ExpyDoc
