マイナンバー制度が始まると、企業にもいろいろな関わりがあります。対策をしっかり講じなければ罰則もあるので注意が必要です。安全管理措置は義務とされていますが、中小企業なら一部軽減措置があります。
中小企業のマイナンバーへの関わり
via www.photo-ac.com
年末調整などは2017年1月からの義務化ですが、2017年1月に提出する源泉徴収票などは、2016年1月~12月までの給与計算、賃金台帳、源泉徴収簿から算出しますので、実質2016年1月にはマイナンバー対応版の給与計算システムを導入する必要があります。
すべての事業者は、各種手続きでマイナンバー、つまり特定個人情報を取り扱うことになります。特定個人情報の不適切な取扱いに関しては、厳しい罰則が設けられています。マイナンバーを適正に取り扱うことが、企業の重要な責務になるわけです。
定められた行政手続きなど以外の目的での利用が禁止されています。違反すると刑事罰となります。また当該手続きの担当者以外は個人番号を見られないようにする必要があります。
企業として必ず関わらなければならないマイナンバーですが、取扱いに関しては慎重になる必要があります。罰則もあります。
そのため、安全管理措置が義務付けられています。
そのため、安全管理措置が義務付けられています。
マイナンバーの安全管理措置
via www.photo-ac.com
安全管理措置とは、事業者が個人番号及び特定個人情報の漏洩、滅失又は毀損の防止等のために設定された措置のことです。マイナンバーは、この安全管理措置などが義務付けられます。
安全管理措置は下記の4つに大別されます。
「組織的安全管理措置」
「人的安全管理措置」
「物理的安全管理措置」
「技術的安全管理措置」
なお、安全管理措置については、中小企業者に特例での軽減措置があります。
中小企業への軽減措置
via www.pakutaso.com
実際の安全管理措置の内容と軽減措置についてみていきましょう。
ただし、軽減はされても免除される項目はありません。
ただし、軽減はされても免除される項目はありません。
事務の流れを整理して、具体的な取扱規程を策定する義務がある。
まず大枠として、取扱規程の策定に関して対応方法が違います。
規程を策定する義務は無い。以下の点を取り決めておく。
特定個人情報等の取扱方法などを明確化する。
事務取扱担当者が変更になった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
本則では義務でしたが、中小企業においては義務ではないのです。
それでは、ここから各内容についてみていきます。
■組織的安全管理措置
via www.photo-ac.com
・組織体制の整備
・取扱規程等に基づく運用
・取扱状況を確認する手段の整備
・情報漏洩事案に対応する体制の整備
・取扱状況把握及び安全管理措置の見直し
⇒中小企業の軽減措置
安全管理措置を講ずるための組織体制を整備する。
上記に対して、中小規模事業者の対応方法は下記です。
事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましいとされているが、義務ではない。また、組織体制を整備する必要は無い。
また、本則の「取扱規程に基づく運用状況を確認するため、システムログ又は利用実績等を記録する。」に対しても軽減措置があります。
特定個人情報等の取扱状況が分かるような記録を保存する。
具体的には、特定個人情報等の取得や廃棄を台帳に記録すること、源泉徴収票などマイナンバーを含む帳票類の作成日、帳票名、数量、交付日、提出日、提出先、提出作業者などを台帳に記録することなどが考えられる。
■人的安全管理措置
via www.pakutaso.com
・事務取扱担当者の監督
・事務取扱担当者の教育
人的安全管理措置に関しては軽減措置はありません。
■物理的安全管理措置
via www.photo-ac.com
・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏洩等の防止
・個人番号の削除、機器及び電子媒体等の廃棄
⇒中小企業の軽減措置
電子媒体等を持ち出す場合の漏洩等の防止。
上記に対して、本則の場合は管理区域又は取扱区域から持ち出す場合に安全な方策を講じるとあります。
特定個人情報等が記録された電子媒体又は書類の移送に当たっては、安全な方策を講じる。
中小企業の場合は移送時だけに軽減されています。
また、個人番号の削除や廃止に関しても、本則ではその記録を残す必要がありますが、中小企業は軽減されています。
特定個人情報等を削除・廃棄したことを確認する。(記録までは義務付けられていない。)
■技術的安全管理措置
via www.pakutaso.com
・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏洩等の防止
⇒中小企業の軽減措置
情報システムを利用して特定個人情報等を取り扱う場合、権限を持たない者にアクセスさせないなど、適切なアクセス制御を行う。
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
本則の上記に対して、中小企業では下記のように「望ましい」だけとなっています。
特定個人情報等を取り扱う機器(パソコンなど)を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。また、機器に標準装備されているユーザー制御機能(Windowsのユーザーアカウント機能で起動時パスワードを設定する、など)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。