弁護士コラム

2019.03.11

事業者に求められるマイナンバーの安全管理

平成27年10月からマイナンバー制度がスタートし、平成28年1月からは、社会保障、税、災害対策の行政手続きでマイナンバーの利用が始まりました。
事業者は、マイナンバー法で定められた事務等のうち、税と社会保険の手続きでマイナンバーを利用します。個人の重要な情報であるマイナンバーに関し、事業者はどのように安全管理を行うべきでしょうか。

1.事業者によるマイナンバーの安全管理の基本的な流れ

事業者がマイナンバーを取り扱う上での安全管理に関しては、特定個人情報保護委員会のガイドライン(事業者編)」で規定されています。
これにより、事業者はマイナンバーを安全に管理し、外部への漏えいや紛失を防ぐために、「どのような事務でマイナンバーを取り扱うか?」「どのようなマイナンバーを取り扱うか?」「誰がマイナンバーを取り扱うか?」についての措置を検討することになっています。

これらを考慮しつつ事業者は、マインバーや特定個人情報を安全に管理するための方針である基本方針と、安全に取り扱うためのルールである取扱規定を策定します。
そして以下の4つの安全管理措置を講じることになります。

・組織的安全管理措置
・人的安全管理措置
・物理的安全管理措置
・技術的安全管理措置

まとめると、事業者のマイナンバーの安全管理の基本的な流れは、①措置の検討 ②基本方針と取扱規定の策定 ③安全管理措置 を講じることとなります。
今回は安全管理措置を講じる前段階として、措置の検討と基本方針・取扱規定の策定についてお話ししますので、しっかり準備を整えていきましょう。

2.マイナンバーの安全管理~措置の検討

マイナンバーを安全に管理し、外部の漏えいや紛失を防ぐ上で、まずは「どのような事務でマイナンバーを取り扱うか?」について明確にしておかなければなりません。
頭書のとおり、事業者はマイナンバー法で定められた事務等のうち、税と社会保険の手続きでマイナンバーを利用します。
税関係の事務としては源泉徴収票や給与支払報告書の作成事務、社会保険関係の事務としては、健康保険・厚生年金保険の届出や給付を受ける事務、雇用保険の届出や給付を受ける事務です。

次に、「どのようなマイナンバーを誰が取り扱うか?」を明確にします。前段で明確にした事務について、取り扱うマイナンバーや特定個人情報の範囲を明確にしていきます。
具体的には、それぞれの事務において書類に記載されるマイナンバーと、それに関連付けて管理される「氏名」「生年月日」といった個人情報を洗い出すことです。
尚、特定個人情報とはマイナンバーを含む個人情報を指します。

マイナンバーにさまざまな情報を関連付けると、万が一情報が漏えいした場合などに被害が大きくなることも予想されますので、必要最小限の情報に限定した方がよいでしょう。
一般的には従業員と扶養家族のマイナンバーと氏名、生年月日となります。

そして措置の検討の最後は、マイナンバーや特定個人情報を「誰が取り扱うか?」です。
事業者は、事業者内でマイナンバーを取り扱う事務を行う担当者を明確にしておく必要があります。
事業者によっては個人名を特定することが困難な場合も想定されます。そのような場合は、例えば総務部人事担当者などとし、担当者が特定できれば構いません。

3.マイナンバーの安全管理~基本方針の策定

事業者はマイナンバーを安全に管理するための基本となる方針「基本方針」を策定します。
作成は任意ですが、会社組織としての方向性をきちんと示す手段として非常に重要だと思われます。尚、基本方針を策定する場合は、以下の項目を盛り込んでください。

・事業者の名称
・関係法令・ガイドラインなどの遵守
・安全管理措置に関する事項
・質問・苦情処理の窓口など

4.マイナンバーの安全管理~取扱規定の策定

マイナンバーや特定個人情報を安全に取り扱うためのルールとして取扱規定等を作成することは事業者の急務と言えます。事務の流れを整理し、具体的な取り扱いを定めます。
例えば、以下のような段階ごとに「誰が」「どのように」取り扱うかを検討し、取扱規定を定めます。

・取得する段階(社員からマイナンバーの報告を受けるなど)
・利用する段階(届書にマイナンバーを記載するなど)
・保存する段階
・提供する段階(届書を役所に提出するなど)
・廃棄・削除する段階

5.まとめ

従業員が100人以下の中小規模事業者については、新たに取扱規定として作成しなくとも、日頃使用している業務マニュアルや業務フロー図、チェックリストなどにマイナンバーや特定個人情報の取り扱いを加えるなどの形で構わないこととされています。

中小規模事業者では、事務で取り扱うマイナンバーや特定個人情報が少なく、取り扱う担当者なども限定的であると考えられるので、事業者の負担が軽くなるよう特例的な方法も認められています。

担当者が変更になった場合等も、責任ある立場の者が確実な引継ぎを確認していれば問題ありません。業務フロー図やチェックリストなどを活用して徹底管理するなどの対応をすすめていただきたいものです。

WEB予約 Nexill&Partners Group 総合サイト
事務所からのお知らせ YouTube Facebook
弁護士法人サイト 弁護士×司法書士×税理士 ワンストップ遺産相続 弁護士法人Nexill&Partners 福岡弁護士による離婚相談所