-
コラム「マイナンバー導入における企業の実務対応」
- 第1回 マイナンバー制度の概要
- 第2回 民間実務への影響とその対応
- 第3回 マイナンバーの適正な取扱い
- 第4回 マイナンバーにおける安全管理措置と委託
- 第5回 税務におけるマイナンバー実務
- 第6回 社会保障事務におけるマイナンバー実務
2015年3月3日公開
富士通総研 経済研究所 主席研究員
榎並利博
マイナンバー法では、「個人番号の適切な管理のために必要な措置を講じなければならない」と規定され、具体的には民間企業は「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の最後に記載されている「安全管理措置」に従って準備を行う必要がある。
まず、企業はそれぞれの実務において、個人番号を取扱う事務の範囲、特定個人情報ファイルの範囲、個人番号を取扱う事務に従事する従業者の範囲を明確化したうえ、安全管理措置について検討し、実施しなければならないとされている。安全管理措置の項目としては、1. 基本方針の策定、2. 取扱規程の策定、3. 組織的安全管理措置、4. 人的安全管理措置、5. 物理的安全管理措置、6. 技術的安全管理措置の6項目が提示され、それぞれの具体的な措置が記載されている。
個人情報保護法が制定された時のガイドラインでは、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4つの項目だけが提示され、規定などについては組織的安全管理措置のなかに含まれていた。しかし、マイナンバーでは組織的安全管理措置よりも上のレベルで基本方針の策定と取扱規定の策定が要求されており、従来の個人情報保護法よりもより厳格かつ組織的な取組みが要求されている。
この安全管理措置について、その要求の度合いについては大規模事業者と中小規模事業者(従業員100人以下)で異なり、中小規模事業者にはそれほど多くが求められない。ただし、ここで注意が必要なのは、下記の企業は従業員が100人以下であっても大規模事業者とみなされることだ。
なお、この安全管理措置と委託については深い関係がある。マイナンバー関連事務の委託においては委託先に対する管理監督責任が生じるが、具体的には委託先におけるこれらの安全管理措置を確認すること、安全管理措置に関して委託契約で縛りをかけること、委託先における特定個人情報の取扱い状況を把握することが要求される。
委託における管理監督責任について図で示すが、再委託や再々委託の場合はかならずA社の許諾が必要になる。そして、委託に伴いA社はB社に対する監督責任、B社はC社に対する監督責任、C社はD社に対する監督責任が発生する。さらに最初の委託者であるA社は、B社がC社を適切に監督しているか、C社がD社を適切に監督しているかという意味で、C社やD社に対しても間接的に監督義務を負うことになる。個人情報保護法においては、再委託先が個人情報取扱事業者でない場合に最初の委託者は監督義務を負わなかったが、マイナンバーではすべての場合において監督義務を負うことに注意が必要だ。
実際にお客様よりいただいたご質問に対する、本コラムの著者である榎並氏の回答をご紹介します。
回答をご覧になりたい方は、是非お問い合わせください。
Q1
グループ会社で人給与システムを共同利用しています。特定個人情報ファイルについては同系列企業の別法人との共同利用は不可とのことですが、グループ会社でのシステム共同利用はできないのでしょうか。
Q2
グループ会社の人事及び給与情報を含めて親会社がシステムで管理しているが、マイナンバーの取り扱いに注意すべき点はあるのでしょうか。
Q3
証憑や申告帳票の保管、保存期間についてはどのように考えれば良いでしょうか。
Q4
退職者のNoをログに残さないことは、どの法律に該当するのでしょうか。
Q5
漏えいした場合の対応はどのようなことが考えられるか、また、悪意のある第三者に個人番号を知られた時に個人が被る恐れのある被害はどのようなものがありますでしょうか。
榎並氏の回答をご覧になりたい方は、以下のお問い合わせフォームからお申込みください。