マイナンバーの漏洩ではたとえ故意でなくても「うっかり鍵をかけ忘れた」「パソコンのセキュリティーが甘かった」などの理由であっても厳しい罰則があります。なので、社員研修や教育でしっかり管理方法や取り扱い時の注意などを学ぶ必要があります。荷が重いって思ったら委託することも可能です。
企業でマイナンバーを扱うときスケジュール項目
via www.google.co.jp
決めよう!
1
マイナンバーを扱う担当者を決めましょう。
集めよう!
2
マイナンバーを従業員から取得する際は、
利用目的を伝え、番号の確認と身元の確認をしましょう。
適切に管理
しよう!
3
マイナンバーが記載された書類は、
カギがかかる棚や引き出しに保管しましょう。
4
ウィルス対策ソフトを最新版にするなど、
セキュリティ対策を行いましょう。
5
退職や契約終了で従業員のマイナンバーが必要なくなったら、
確実に廃棄しましょう。
理解しよう!
6
従業員にマイナンバー制度周知のための研修や勉強会を行いましょう。
必要な準備もたくさん・・・
via www.google.co.jp
マイナンバーを適正に扱うための社内規程づくり。
基本方針、取扱規程の策定マイナンバーに対応した
システム開発や改修。
人事、給料、会計システム等への対応特定個人情報の
安全管理措置の検討。
組織体制、担当者の監督、区域管理、漏えい防止、アクセス制御など社内研修・教育の実施
特に総務・経理部門などマイナンバーを取扱う事務を行う従業員への周知徹底
マイナンバーの漏洩ではたとえ故意でなくても
「うっかり鍵をかけ忘れた」「パソコンのセキュリティーが甘かった」などの理由であっても厳しい罰則があります。
なので、社員研修や教育でしっかり管理方法や取り扱い時の注意などを学ぶ必要があります。
でも中小企業などでこんなこと自分たちでできない!人員を割くことが不可能!なんて時には
他社に委託するということも可能なのです。
委託したほうが安く済んだり、面倒が無い場合も多いのです。
マイナンバーの管理を委託するという選択肢。
マイナンバーは国や地方公共団体だけが管理するものではありません。民間企業にも、従業員やその扶養家族のマイナンバーを収集して保管する必要性が生まれます。
しかし、個人情報の管理というものはただでさえ難しいものです。ましてマイナンバーのような特に重要な個人情報となればなおさらでしょう。そこで、個人情報の管理を第三者に委託するという選択肢もあります。
民間企業は、従業員の源泉徴収の処理や社会保険料の天引きなどに当たって、公的機関に提出する書類にマイナンバーを記載しなければなりません。そのため、企業では従業員の数だけ(扶養家族も含めればそれ以上の)マイナンバーを取り扱うことになります。
しかしながら、マイナンバーの管理には厳格な制限やルールが設けられているため、企業によっては自前のシステムで管理をすることは困難かもしれません。
そんなときに頼りたいのが、第三者への管理委託です。
業務委託先の選び方。
via www.google.co.jp
委託先の適切な選定
大切なマイナンバーを預けることになるのですから、委託先には信頼できるところを選定したいものです。ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。」と、確認することは義務として規定されています。委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。
委託先に安全管理措置を遵守させるために必要な契約の締結
通常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。
秘密保持義務
事務所内からの特定個人情報の持ち出しの禁止
特定個人情報の目的外利用の禁止
再委託における条件
漏洩事案等が発生した場合の委託先の責任
委託契約終了後の特定個人情報の返却又は廃棄
従業者に対する監督・教育
契約内容の遵守状況について報告を求める規定
委託先における特定個人情報の取扱状況の把握
契約した内容を委託先が正しく実行しているか、確認する義務が委託元にはあります。先の契約内容に「契約内容の遵守状況について報告を求める規定」を入れているので、その報告を受けることで取扱い状況の把握が可能になります。
大切なのは、大切な情報を預ける委託先の選定です。
きちんと取扱状況を把握して、どのように管理してくれるのかしっかり調べる必要があります。
では、委託先が情報を漏洩してしまった場合はどうなるのでしょうか。
事業者には委託先を監督する責任がある。
via www.google.co.jp
委託先選定基準を作成して安全な委託先を選定すること
委託先とは委託契約などを締結する際に「秘密保持条項」を明記して、個人情報が漏えいしないように定めを置くこと
定期的に会議を設定して、取り扱い状況を監督すること
提供したデータの返還や消去を義務付けて確認すること
当初はガイドラインによって、相当なばらつきもあったものの、その後多くのガイドラインは項目がほぼ揃うようになり、前記の4点を求めるのが一般となってきた。
マイナンバーの管理を第三者に委託したとしても、事業者には委託先を監督する責任があります。
具体的には、本来自分たちに課されているはずの4種類の安全管理措置がしっかりと講じられているかどうかを監督する義務です。
そのため、リソースや技術的問題から外部に委託をする場合であっても、事業者の担当者はきちんとマイナンバーの管理についての知識を頭に入れておかなければならないというわけです。
「委託先に対する監督の義務」というと、難しく感じるかもしれませんが、委託先からちゃんと説明を受けて、理解してから契約し、状況の報告を受ければ良いだけです。
自社で個人番号を管理する場合、101人以上の企業では「安全管理措置」のA~Fをすべて講じなくてはならなくなります。その一つ、管理区域の入退出管理を行うだけでも記録する事務的負荷がかかりますが、クラウドに預けてしまい「社内に存在しない」状態を作り出せば、面倒な記録を行う必要ありません。管理するのはIDとパスワードのみとなり、情報漏えいのリスクも低減できます。
そのような観点から、コストとのバランスもありますが、委託をすることを選択肢として積極的に考えてもよいと思っています。事務的には圧倒的に楽になります。
マイナンバーの管理を委託したと言ってもなにもしないでいいわけではないんですね。
本来自分たちに課されているはずの4種類の安全管理措置がしっかりと講じられているかどうかを
監督する義務があります。
それを怠ってしまうと委託した側の会社にも責任が問われ、罰せられることもあるんです。