中小企業にとってマイナンバー制度の対策としてまず考えられるのは、システムの導入です。しかし、それだけでは解決にはなりません。本当に必要な対策は「ルール」「組織」「従業員教育」です。それぞれ詳しく解説します。
1.ルールを明確にする
事業者向けのガイドラインに示されているとおり、企業にはマイナンバー運用にあたって「基本方針の策定」と「取扱規程等の策定」という2種類のルールづくりが推奨されています。このルールづくりをきちんと事前に行っておくことが、マイナンバー運用の大きなポイントとなります。
1-1.基本方針の策定
基本方針というのは、現在の社内規定や、セキュリティポリシーを見直し、企業がマイナンバー法を遵守しマイナンバーガイドラインに基づき、特定個人情報について適正な取扱いをすることを宣言する内容を盛り込めばよいのではと考えます。
ガイドラインでは、 基本方針に定める項目としては、 次を挙げています。
・ 事業者の名称
・ 関係法令・ガイドライン等の遵守
・ 安全管理措置に関する事項
・ 質問及び苦情処理の窓口 等個人情報保護に関し、プライバシー ポリシー(個人情報保護方針)を明示している企業は、それをアレンジすれば問題ないと考えられます。
1-2.取扱規程等の策定
従業員数が100人超の企業は、マイナンバーの取扱方法を明確にした「取扱規程」の策定も必要です。
特に、情報漏えい事故が生じる可能性があるマイナンバーの運用では、以下に示した5段階で、取扱方法、責任者・事務取扱担当者とその任務等を定めることが求められています。取扱規定に具体的に定める事項
(1)取得をする段階
(2)利用を行う段階
(3)保存をする段階
(4)提供を行う段階
(5)削除・廃棄を行う段階
特定個人情報取扱規程は、従業員の労働条件に関するものではないので、一般的な規程の運用のように、従業員代表の意見聴取を行なったり、管轄の労働基準監督署への提出は必要ありません。
1-3.安全管理措置の徹底
企業は、マイナンバー及び特定個人情報の漏洩、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
安全管理措置の4分類1. 組織的安全管理措置
以下の5つがあります。
・組織体制の整備
・取扱規程等に基づく運用
・取扱状況を確認する手段の整備
・情報漏洩事案に対応する体制の整備
・取扱状況把握及び安全管理措置の見直し2. 人的安全管理措置
以下の2つがあります。
・事務取扱担当者の監督
・事務取扱担当者の教育3. 物理的安全管理措置
以下の4つがあります。
・特定個人情報等を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
・電子媒体等を持ち出す場合の漏洩等の防止
・個人番号の削除、機器及び電子媒体等の廃棄4. 技術的安全管理措置
以下の4つがあります。
・アクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス等の防止
・情報漏洩等の防止
2.組織作り
マイナンバーを漏洩させない組織づくりが必要です。責任者、取扱者を決め、
取扱規定どうりに事務処理ができるようにします。
これを、「組織的安全管理措置」といいます。
組織体制の整備
安全管理措置を講ずるための組織体制を整備する。
≪手法の例示≫
*組織体制として整備する項目は、次に掲げるものが挙げられる。
・事務における責任者の設置及び責任の明確化
・事務取扱担当者の明確化及びその役割の明確化
・事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
・事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
・情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制
・特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
これを円滑に行うには、情報システムの導入が現実的な解決策のはずです。
しかし、多くの中小企業にとって人的資源や資金面で対応が難しいのではないでしょうか?そこで、従業員が100人以下であれば、「軽減措置」の可能性があります。
中小規模事業者の軽減措置
中小企業事業者に該当する場合は、以下のことを最低限行えばよいことになっています。
a.組織体制の整備
事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい。
→具体例:責任者と担当者を明確にする。
3.従業員教育
マイナンバー法では「ほぼすべての事業者」が対象となります。社員1人1人が個人情報に対する最低限の知識を持ち、マイナンバーを会社に提出することに、安心感を持ってもらうことが重要と思われます。そのための社員教育は非常に大事なものとなります。この点について、榎並氏はこう話しています。
「社員教育の対象者は、社員全員になります。個人情報保護法が施行されたとき、個人情報の取り扱いについて全社員に教育しましたね。今回のマイナンバーは、個人情報保護法の特別法なので、これもやはり全社員にきちんと研修をしておかないといけないものです。たとえば、もしその企業の中でマイナンバーの扱いに関して不正行為があった場合、不正行為をした人が罰せられますが、それだけではありません。この法律には両罰規定が入っているので、その法人自体も管理監督責任を問われることになります。そういった意味でも、全社員にきちんと理解させておくことが必要です」
研修資料としては、マイナンバーの取扱いに関する監視・監督を行う機関である「特定個人情報保護委員会」が公表しているガイドラインを用いるとよいでしょう(HPに掲載されているのでどなたでも取得できます)。
3-1.どのように教育すれば良いのか
1.マイナンバーについて(制度)
・マイナンバー制度の導入の趣旨
・マイナンバー制度の仕組み
・個人番号カードについて
・マイナンバー制度導入のメリット
勘違いや思い込みが多くを占めているので、その間違いを正すよう、政府から公表されている資料等を使い間違いのない制度説明を行うようにしてください。2.運用の仕方(利用方法)
・マイナンバーの利用範囲について
・マイナンバーの利用例について(会社内での利用方法含む)
・企業におけるマイナンバーの利用例
会社内のシステム(運用方法や就業規則い記載しているかなど)についてを伝えることで、自分にもかかわりがあることを認識してもらい、覚えてもらえるようにしましょう。個人情報の漏えいなどによる流出を極端に気にする方もいらっしゃいますので、ルールをしっかりと作成し従業員にレクチャーしてください。
3.コンプライアンス(法令遵守)
・マイナンバー関係の法律について
・会社内での運用ルール
・罰則など
従業員には、ルールを順守する気持ちを持つように教育をしてください。
ここができていないと、この先、情報漏洩などのリスクが会社に付きまとっていくとこになってしまいます。