前回まで見てきたとおり、事業者は従業員や取引先のマイナンバーを収集する必要がありますが、同時に様々な制限があり、適正な取扱をすることが法的に求められています。今回は、事業者がマイナンバーを収集する前に準備しておかなければならない、事前準備についてお話いたします。この準備は、前回ご紹介した「特定個人情報の適正な取扱いに関するガイドライン」に沿って進めていくのが良いでしょう。また、個人情報取扱事業者の場合は、個人情報保護法も意識する必要があります。

ガイドラインとは

「特定個人情報の適正な取扱いに関するガイドライン」では、マイナンバーをどのように取扱えば良いかという具体的な指針が解説されています。

このガイドラインは、個人番号を取り扱うすべての事業者が対象となりますが、一部の事項について、中小規模事業者に対する特例があります。中小規模事業者とは、以下のような事業者のことです。(強調は筆者)

「中小規模事業者」とは、事業者のうち従業員が100人以下の事業者であって、次に掲げる事業者を除く事業者をいう。

  • 個人番号利用事務実施者
  • 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
  • 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
  • 個人情報取扱事業者

※一番下の「個人情報取扱事業者」とは、個人情報保護法における個人情報取扱事業者のことで、簡単に言えば「常時5000人以上の個人情報を保有している事業者」のことです。逆に言えば、常時保有している個人情報が5000人未満であれば個人情報取扱事業者ではないのですが、この5000人という条件は2015年3月に閣議決定した個人情報保護法の改正案では削除されています(2015年6月時点では参議院で審議中。)。ただし、マイナンバー制度における「中小規模事業者」の定義を個人情報保護法の改正後にどうするかは、2015年6月の時点では未定のようです。

ガイドラインが事業者に求める安全管理措置

ガイドラインでは、事業者がマイナンバーを取り扱うに当たり安全管理措置をとるよう義務づけています。その内容は以下の通りです。たくさんあるのでなかなか大変ですが、マイナンバーの運用開始までにはまだ時間がありますので、焦らず一つずつ確実に実施していきましょう。なお、以下の文中で「~しなければならない」という主旨の記載が出てきた場合は、ガイドラインが義務付けているという意味です。また、中小規模事業者の例外が定められている場合は、補足として記載しています。

1.基本方針の策定
特定個人情報等の適正な取扱いの確保について、会社組織としての基本方針を策定することが重要です。これはガイドライン上、必須とされていませんが、簡単なものでもいいので出来るだけ定めるのが良いでしょう。
2.取扱規程や業務マニュアルの作成
事務の流れを整理し、特定個人情報等の具体的な取扱いを規程やマニュアルとして文書化しなければなりません。

※中小規模事業者の場合は、特定個人情報等の取扱等を明確化し、事務取扱担当者が変更となった場合に確実に引継ぎを行い、責任ある立場の者がそれを確認するだけで足りるとされています。

規程やマニュアルを作成する過程では、以下のような項目の洗い出しが必要になります。

2-1.マイナンバーを受け取る必要のある事務の洗い出し
マイナンバーを受け取ることが想定される事務をすべて洗い出し、明確にしておくことが義務付けられています。通常の事業者であれば、役員・従業員の税務・社会保険・労働保険事務や、取引先の支払調書作成事務になることでしょう。

2-2.取り扱う特定個人情報等の洗い出し
2-1.で洗い出した事務の中で、実際に取り扱う特定個人番号等(マイナンバーを含む個人情報)の範囲を明確にしなければなりません。マイナンバーが含まれる書類に記載されている個人の情報は、すべて特定個人情報等と考えてよいでしょう。

2-3.事務取扱担当者や責任者の明確化
事業者は、マイナンバーを取り扱う担当者や責任者を明確にしておかなければなりません。通常は、担当者は給与支払業務の担当者、責任者はその上司というのが一般的になると思われますが、これは各事業者の事情に応じて決めると良いでしょう。また、必ずしも個人名で指定する必要は無く、部署名や事務名等により、担当者が明確になれば十分であると考えられます。

3.組織的安全措置を講じる

事業者は、次に掲げる組織的安全措置を講じなければならないとされています。

3-1.組織体制の整備
上記2-3.と重複しますが、組織内でマイナンバー取扱担当者や責任者の役割を明確にすることが求められます。相互牽制体制や情報漏洩時の報告連絡体制などを整備し、ミスや不正が起こりにくい体制を作ることが求められています。

※中小規模事業者で事務取扱担当者が複数いる場合は、責任者と事務取扱担当者を区分することが望ましい、とされています。

3-2.取扱規程等に基づく運用の確認
取扱規程を策定すべきということは2.で解説した通りですが、実際の運用がその規程通りに行われているかどうかを確認できるよう、コンピュータシステムのログや利用実績を手書き等で記録する必要があります。コンピュータを使ってマイナンバーを管理している場合は、その情報にアクセスする事務担当者のログイン実績やアクセスログを取ることが考えられます。紙媒体でマイナンバーを扱うシーンでは、持ち出し・移動・削除・廃棄の記録を台帳に記入して残すような方法が考えられます。これは今回のガイドラインにおいてかなり重要なポイントですが、紙媒体での取扱をすべて記録していくのは非常に手間がかかることが予想されます。一方、コンピュータシステムではログを残すことは比較的容易ですので、コンピュータシステムでマイナンバーを取り扱う方が実務上の手間は少なくなると思われます。

※中小規模事業者では上記条件は緩和されており、特定個人情報の取得状況が分かる記録を保存することでよいとされています。

3-3.取扱状況を確認する手段の整備
マイナンバーの取扱状況が、後々でも分かるような手段を用意することが求められています。取扱いの記録を残していくことが考えられますが、その記録自体にはマイナンバーを残さないような工夫が必要です。この場合も、コンピュータシステムであればログを参照するシステムは容易に実現できるため、コンピュータシステムでマイナンバーを取り扱う方が実務上の手間は少なくなると思われます。

※中小規模事業者では上記条件は緩和されており、前項と同じく、特定個人情報の取得状況が分かる記録を保存することでよいとされています。

3-4.情報漏洩等事案に対応する体制の整備
情報漏洩等の事案が発生した、あるいは発生の兆候が見られる場合に、適切かつ迅速に対応するための対応体制を整備することが求められています。問題が発生した場合の連絡窓口の部署や担当者を、事前に整理しておきましょう。

※中小規模事業者では、情報漏洩等の事案の発生に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておくことでよいとされています。

3-5.取扱状況の把握及び安全管理措置の見直し
マイナンバーの取扱い状況について、自らまたは他部署等により定期的に点検を行い、不備があれば改めることが求められています。外部の監査機関を利用することも考えられます。

※中小規模事業者では、責任ある立場の者が、マイナンバー等の取扱い状況について、定期的に点検を行うことでよいとされています。

4.人的安全措置を講じる

セキュリティを語るとき、最大の弱点は「人」だと言われます。体制やシステムがいかに整おうとも、それを運用する人を適切に監督し、担当者個々の意識を高めていかなければ、適切な取扱いとは言えません。そこで、次のような人的安全管理措置が求められています。

4-1.事務取扱担当者の監督
事業者は、マイナンバー等が取扱規程などに基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うことが義務付けられています。

4-2.事務取扱担当者の教育
事業者は、事務取扱担当者に、マイナンバー等の適正な取扱いを周知徹底するとともに、適切な教育を行うことが義務付けられています。

5.物理的安全措置を講じる

マイナンバーが記載してある用紙や、記録してあるパソコン、電子媒体(CDやDVD)、サーバーなどを保護するための措置を物理的安全措置といい、以下のような管理が義務付けられています。

5-1.特定個人情報等を取扱う区域の管理
マイナンバー等を取扱う事務を実施したり、マイナンバーが保管されているサーバーが管理されている場所を明確にすることが求められています。そして、それらの場所への入室や機器の持ち込みを制限することにより、物理的にマイナンバーに接触できる人や機会をできるだけ少なくすることで、漏洩の危険を減少させることができます。

5-2.機器及び電子媒体等の盗難等の防止
マイナンバー等を取扱う機器・電子媒体・書類などを施錠できるキャビネットや金庫に保管したり、ノートPCなどをセキュリティワイヤーで固定するなどして、マイナンバーが物理的に盗まれるのを防ぐことが求められています。

5-3.電子媒体等を持ち出す場合の漏洩等の防止
マイナンバー等が記録された電子媒体や書類を持ち出す場合、容易に中身が判明しないような措置や、追跡可能な移送手段を利用することが求められています。電子媒体であればファイルを暗号化したりパスワードロックをかける、書類の場合は封や目隠しシールをして、郵送等する場合は配達記録や受取証明がとれるサービスを利用することが考えられます。

※中小規模事業者では、持ち出しの際はパスワードロックをかけたり封筒に封入し鞄に入れて運搬するなど、紛失・盗難を防ぐための方法をとることでよいとされています。

5-4.個人番号の削除、機器および電子媒体等の廃棄
個人番号関係事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除または廃棄することが求められています。マイナンバーが記載された書類や記録された電子媒体は、安易に捨てるのではなく、細かく裁断できるシュレッダーにかけるなどして、復元されないようにして捨てましょう。また、削除または廃棄した場合は、その記録を保存します。さらに、削除または廃棄の作業を外部業者等に依頼した場合は、廃棄証明等を取得する必要があります。

※中小規模事業者では、マイナンバー等を削除・廃棄したことを責任ある立場の者が確認することでよいとされています。

6.技術的安全措置を講じる

コンピュータを使ってマイナンバーを管理するのは便利ですが、ITの世界では常にセキュリティを高める努力をしていないと、不正なアクセスにより情報を盗まれたり流失してしまいます。そのため、コンピュータシステムを使用する場合は、以下のような技術的安全管理措置をとらなければなりません。

6-1.アクセス制御
情報システムを使用してマイナンバー等を取扱う場合、定められた事務取扱担当者だけがマイナンバー等にアクセスできるよう、適切なアクセス・コントロールをすることが求められています。システムを使う者にのみアカウントを与える、または同じシステムのアカウントを持つ者が複数いる場合でもマイナンバーへのアクセスは事務取扱担当者のアカウントだけに許可をする、などの措置が考えられます。

※中小規模事業者では、マイナンバー等を取扱う機器を特定し、その機器を取扱う事務担当者を限定することが望ましいとされています。また、機器に標準装備されているユーザーアカウント制御機能により、情報システムを取扱う事務取扱担当者を限定することが望ましいとされています。少し難しい言い回しですが、マイナンバーの取扱い専用のWindowsパソコンを1台用意し、Windowsログオン時に事務取扱担当者専用のパスワードを要求するような運用で足りるでしょう。

6-2.アクセス者の識別と認証
情報システムを使用してマイナンバー等を取扱う場合、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証することが求められています。マイナンバーに限らず、システムに対する権限がある者だけにアクセスを許すのが、情報システムの基本的取扱いです。

※中小規模事業者では、先の9-1. と同じ特例です。

6-3.外部からの不正アクセスの防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用することが求められています。社内ネットワークを敷設している事業者であれば、ファイアーウォール等を設置して不正アクセスを遮断しているところも多いことでしょう。パソコンやサーバーにアンチウィルスソフトや監視ツールを導入することや、OSやソフトウェアの自動更新機能を使用して、常に最新の状態に保つことなどが考えられます。

また、今話題となっている日本年金機構からの情報流出は、職員宛に届いた不審な電子メールの添付ファイルを開いてしまったことにより発生したと言われています。出所の分からないファイルを、むやみに開くのは止めましょう。(特に、出所が分からないファイルの拡張子がexeとなっている場合、取扱には慎重になるべきです。)

6-4.情報漏洩等の防止
マイナンバーを、インターネット等で外部に送信する場合、通信経路における情報漏洩等を防止するための措置を講じることが求められています。インターネットの経路上では、暗号化されていなければ誰に通信内容を傍受されるか分かりません。暗号化できない場合は、インターネットでマイナンバーを送信することは避けた方が良いでしょう。どうしても、という場合は、Excelファイル等にパスワードロックをかけ、そのファイルにマイナンバーを記載して送信するなどが考えられます。

個人情報保護法との関連

マイナンバーも個人情報の一つなので、個人情報保護法の適用も受けます。従って、個人情報取扱事業者である事業者は、マイナンバーを取得するときは利用目的を本人に通知又は公表しなければなりません。この通知・公表は、複数の利用目的をまとめて明示することが可能ですが、後から追加することはできないとされています。そのため、最初に広範囲・包括的な利用目的を明示することが望ましいと考えられます。方法としては、以下のようなものがあります。

1.従業員の場合
就業規則や規程に明記したり、社内掲示板に張り出すなど、全従業員が参照できるような告知を行う。
2.取引先など社外の場合
個別に郵送する、またはWebサイトで公表する。

内容は、以下のように考えられる限りの項目を列挙して、漏れが無いようにしましょう。

(利用目的の例)
[従業員]
 ・源泉徴収票作成事務
 ・退職所得に関する申告書作成事務
 ・健康保険、厚生年金保険に関する申請、届出事務
 ・雇用保険、労災保険に関する申請・届出事務
[取引先]
 ・不動産取引に関する支払調書作成事務
 ・報酬、料金、契約金及び賞金に関する支払調書作成事務

以上の対応準備ができたら、次はいよいよ、マイナンバーの収集を行うことになります。その手順は、次回でご説明いたします。

 

参考:特定個人情報保護委員会Webサイト - 法令・ガイドライン -

監修:社会保険労務士法人アクシス代表社員 樫葉 稔