マイナンバーの安全管理措置は義務だけど、中小企業なら軽減措置あり！

年末調整などは2017年1月からの義務化ですが、2017年1月に提出する源泉徴収票などは、2016年1月～12月までの給与計算、賃金台帳、源泉徴収簿から算出しますので、実質2016年1月にはマイナンバー対応版の給与計算システムを導入する必要があります。

すべての事業者は、各種手続きでマイナンバー、つまり特定個人情報を取り扱うことになります。特定個人情報の不適切な取扱いに関しては、厳しい罰則が設けられています。マイナンバーを適正に取り扱うことが、企業の重要な責務になるわけです。

定められた行政手続きなど以外の目的での利用が禁止されています。違反すると刑事罰となります。また当該手続きの担当者以外は個人番号を見られないようにする必要があります。

安全管理措置とは、事業者が個人番号及び特定個人情報の漏洩、滅失又は毀損の防止等のために設定された措置のことです。マイナンバーは、この安全管理措置などが義務付けられます。

「組織的安全管理措置」
「人的安全管理措置」
「物理的安全管理措置」
「技術的安全管理措置」

なお、安全管理措置については、中小企業者に特例での軽減措置があります。

事務の流れを整理して、具体的な取扱規程を策定する義務がある。

規程を策定する義務は無い。以下の点を取り決めておく。
特定個人情報等の取扱方法などを明確化する。
事務取扱担当者が変更になった場合、確実な引継ぎを行い、責任ある立場の者が確認する。

・組織体制の整備
・取扱規程等に基づく運用
・取扱状況を確認する手段の整備
・情報漏洩事案に対応する体制の整備
・取扱状況把握及び安全管理措置の見直し

事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましいとされているが、義務ではない。また、組織体制を整備する必要は無い。

特定個人情報等の取扱状況が分かるような記録を保存する。
具体的には、特定個人情報等の取得や廃棄を台帳に記録すること、源泉徴収票などマイナンバーを含む帳票類の作成日、帳票名、数量、交付日、提出日、提出先、提出作業者などを台帳に記録することなどが考えられる。

・事務取扱担当者の監督
・事務取扱担当者の教育

・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏洩等の防止
・個人番号の削除、機器及び電子媒体等の廃棄

特定個人情報等が記録された電子媒体又は書類の移送に当たっては、安全な方策を講じる。

特定個人情報等を削除・廃棄したことを確認する。（記録までは義務付けられていない。）

・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏洩等の防止

情報システムを利用して特定個人情報等を取り扱う場合、権限を持たない者にアクセスさせないなど、適切なアクセス制御を行う。

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

特定個人情報等を取り扱う機器（パソコンなど）を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。また、機器に標準装備されているユーザー制御機能（Windowsのユーザーアカウント機能で起動時パスワードを設定する、など）により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。