なにかと不安が多いマイナンバー制度ですが、マイナンバーの概要を説明した政府のHP、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」から一部を抜粋して詳しくみていきましょう。
政府の発表したガイドラインを順に見ていきましょう
http://www.ppc.go.jp/files/pdf/160101_guideline_jigyousya.pdf
○本資料は、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の概要をご理解いただくために、まとめたものです。
個人番号利用に関する制限とは
個人番号を利用できる事務については、番号法によって限定的に定められています(原則的な個人番号の利用)。○事業者が個人番号を利用するのは、主として、社会保障及び税に関する手続書類に従業員等の個人番号を記載して行政機関等及び健康保険組合等に提出する場合です(個人番号関係事務)。
○例外的な個人番号の利用は、①金融機関が激甚災害時等に金銭の支払を行う場合、②人の生命、身体又は財産の保護のために必要がある場合に限られています。
○個人番号関係事務を処理するために必要な範囲に限って、特定個人情報ファイルを作成することができます。
会社が取り扱う書類は主に何?
支払調書
源泉徴収票
被保険者資格取得届
手続きが簡単になることがメリット
マイナンバー制度を導入することによって、行政手続が、早く、簡単 かつ 正確に行えるようになります。・社会保険の手続や源泉徴収票などにマイナンバーを記載し、行政手続で利用することで、確認作業の無駄が削減され、また添付書類の省略による簡素化が図られます。
・正確な情報に基づく確認により、給付金等の不正受給を防止できるなど、公平・公正な社会を実現します。
事業者のみなさまは、行政手続などのため、従業員などのマイナンバーを取り扱います。
・事業者は、社会保険の手続や源泉徴収票の作成などにおいて、従業員などからマイナンバーの提出を受け、書類などに記載します。
・個人情報を守るため、マイナンバーは、法律で定められた範囲以外での利用が禁止されており、またその管理に当たっては、安全管理措置などが義務付けられます。そのため、特定個人情報保護委員会では、法律が求める保護措置及びその解釈について、具体例を用いて分かりやすく解説したガイドラインを作成しています。
※ガイドラインでは、中小規模事業者に対する特例を設けることにより、実務への影響を配慮しています
業務委託をする際の注意点
その答えは「ある」となります。委託先できちんと安全管理措置がなされているかどうかの監督責任はそれを依頼した会社にあると言えます。
【委託の取扱い】
○個人番号関係事務の全部又は一部の委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措
置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
《
マイナンバー関連の業務を委託する場合は、委託先に対して必要かつ適切な監督を行う必要があります。
源泉徴収・社会保険関連の業務を税理士や社会保険労務士に委託している企業も多いと思います。源泉徴収や社会保険関係の書類にはマイナンバーを記載する必要があるので、必然的にマイナンバーに関する業務も委託することになります。
もちろん委託すること自体は法律違反ではありません。ただ、企業は委託先に「安全管理措置(※1)」を講じてもらえるように必要な契約を締結するとともに、委託先におけるマイナンバーの取り扱い状況を把握することが必要となります。
通常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。
秘密保持義務
事務所内からの特定個人情報の持ち出しの禁止
特定個人情報の目的外利用の禁止
再委託における条件
漏洩事案等が発生した場合の委託先の責任
委託契約終了後の特定個人情報の返却又は廃棄
従業者に対する監督・教育
契約内容の遵守状況について報告を求める規定
近年ではインターネット上のクラウド、ホスティング、ハウジングなどのサービスで情報システムを利用するケースも多くなってきました。そういったシステムでは、インターネット上のサーバーに従業員情報を登録しているケースがありますが、ここにマイナンバーが追加された場合、そのシステムを提供しているITサービス業者にマイナンバー業務を委託したことになるのでしょうか? 典型例としては、クラウド上で動作する給与システムで源泉徴収票を印刷するために、クラウド上の従業員マスターにマイナンバーを追加する、などが考えられます。確かに、マイナンバーを自分たちのではない他社のサーバーに保存するのですから、委託に該当するような気がしますね。これについては、特定個人情報保護委員会が以下のようなQ&Aを公開しています。(強調は筆者。)
Q3-12 特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。
A3-12 当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます
委託する場合のチェックリスト3つ
①委託先の適切な選定
②委託先に安全管理措置を遵守させるために必要な契約の締結
③委託先における特定個人情報の取扱状況の把握○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、
特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。
サイバー攻撃による年金加入者の個人情報流出が大きな社会問題になる中、事業者もマイナンバーの取り扱いについて、より厳格な情報管理が求められる。他人のマイナンバーを悪用したなりすましなどの懸念もあることから、マイナンバー法では個人情報保護法よりも厳しい罰則を定めている。
安全管理措置、収集保管期限について
安全管理措置とは
マイナンバーの安全管理措置
企業は、マイナンバー及び特定個人情報の漏洩、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
そして特定個人情報保護のため、全ての事業者は、 「組織的安全管理措置」「人的安全管理措置」「技術的安全管理措置」「物理的安全管理措置」という4つの安全管理措置を講じる必要があります。これらは「組織・社内対応領域」と「システム対応領域」に大別することができ、IT部門や、総務などの所属部署と兼務で情報セキュリティーをご担当されている方は、「技術的安全管理措置」と「物理的安全管理措置」への対策が求められることになります。
技術的安全管理措置
技術的安全管理措置とは、サーバーでマイナンバーを管理する場合などで、外敵から守るためにUTM(Unified Threat Management:総合脅威管理)を行う、アクセス制御や認証システムを導入するなどセキュリティレベルを上げて IT 環境を整備したりすることです。
物理的安全管理措置
物理的安全管理措置とは、マイナンバーは他人に知られると漏えいするリスクがあるので、「マイナンバーを扱う作業をするときには、マイナンバーが映っている画面などを隣の人に見られないように担当者のデスクをパーテーションで区切る」、「マイナンバーをパソコンに保管するときはパソコン自体を盗まれないようにセキュリティーワイヤーで固定する」などの工夫をすることです
機器及び電子媒体等の盗難等の防止前述の措置により、マイナンバーをはじめとする特定個人情報等を扱う機器、電子媒体及び書類等は、管理区域か取扱区域内に存在することとなります。
そして更に、それらの機器、電子媒体及び書類等の盗難や紛失、損壊の可能性を物理的に防止するための措置を講じる必要があります。
収集・保管期限とは
マイナンバーを含む特定個人情報は、法制度で明記されている、限定された事務を行う必要がある場合に限って保管し続けることが可能です。
原則的に、マイナンバーの利用は法律で定められた用途に限定されます。また、従業員にマイナンバーの提供を求める際には、あらかじめ利用目的を明確に説明しておかなければなりません。たとえ本人の同意があったとしても、当初に伝えた目的以外に流用することは認められていません。
そのため、当初の利用目的が果たされた場合には、企業は速やかにマイナンバーの情報を削除する必要があります。
番号法第19条に限定的に定められた場合を除いて、他人のマイナンバーを収集または保管することはできません。一般的な企業においては、「個人番号関係事務」を処理するために必要がある場合に限り、従業員等のマイナンバーを収集・保管することができます。特に留意すべき点は、マイナンバーを利用して行う事務を処理する必要がなくなった場合で、書類の法定保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄または削除しなければならない、とされている点です。
退職後7年以内で完全に廃棄すること政府の指針では、退職者のマイナンバーは最長でも退職後7年以内に廃棄することが求められています。これは、扶養控除等申告書などのマイナンバーを記載した書類の法定保存期間が7年であることから来ています。
つまり、マイナンバーを保管したデータだけでなく、マイナンバーが記載された書類もすべて破棄(またはマスキング等で復元できない状態にして保管)しなければならないことに注意が必要です
年度別に書類を管理すると廃棄もしやすい前の項で解説したように、退職者のマイナンバーには廃棄の期限が設けられています。そこで、紙の書類の場合は退職年度ごとにデータを分類して保管しておくようにすると、必要なときに取り出すことも可能ですし、廃棄する際にもスムーズに処理を行うことができるでしょう。
事務処理の必要性と法定保存期間を踏まえて、マイナンバーを廃棄又は削除する時期を決めて管理しましょう。また、廃棄や削除の具体的な方法についても、実務の手順として決めておきましょう。削除・廃棄の記録を保存する必要もあります。
開示・訂正・利用停止について
開示・訂正・利用停止等とは
開示・訂正・利用停止等】
事業者のうち、個人情報保護法の適用を受けることとなる個人情報取扱事業者は、特定個人情報の適正な取扱いについて、開示・訂正・利用停止等の規定の適用を受けることとなります。
【第三者提供の停止に関する取扱い】
特定個人情報が、マイナンバー法で規定された場合に違反して違法に第三者に提供されているという理由により、本人から第三者への特定個人情報の提供の停止を求められた場合であって、その求めに理由があることが判明したときには、遅滞なく、その特定個人情報の第三者への提供を停止しなければなりません。
マイナンバーの開示・訂正・利用停止等に関して、法制度上は以下の様に定義されています。
1.第三者提供の停止に関する取扱い(番号法第29条第3項)
なお、個人情報保護法における個人情報取扱事業者である事業者(個人情報を5,000件以上保有する事業者)は、特定個人情報についても、個人情報保護法上の開示・訂正・利用停止等の規定の適用を受けることになります。今後、改正された個人情報保護法が施行される際には、すべての事業者が個人情報保護法上の開示・訂正・利用停止等の規定が適用されます。
マイナンバーの第三者提供の停止とは?
マイナンバーは個人情報でもあり、マイナンバーの公表・開示・訂正・利用停止等については個人情報保護法に従って運用することになる。たとえば、特定個人情報について本人から保有個人データの利用目的の通知を求められたときは、本人に対して遅滞なく通知しなければならない。また、本人から保有個人データの開示を求められたときには、本人に対して保有個人データを開示しなければならない。訂正や利用停止等も、個人情報保護法にのっとって運用していくことになる。
この段階でマイナンバー法が規定しているのは「第三者提供の停止」である。これは、「自分の特定個人情報が違法に第三者に提供されている」という訴えがあった場合、それが事実であれば遅滞なく第三者への提供を停止しなければならないという規定である。当たり前のことと思われるが、ネット上で拡散してもはや停止できない場合も出てくる。その時にはマイナンバーを変更し、本人の権利利益を保護することが想定されている。
会社勤めをしている人は、税の申告などに用いるために、会社側から番号の提示を求められるだろう。ちなみに会社側は、何に使うかを明示した上で、社員から番号を収集する義務がある。例えば、「番号が必要になるらしいから教えて」などと曖昧に迫られた場合には教えてはいけない。明確に「所得税申告のために収集します」と言われた場合には、その目的のために番号を提出すべきだが、会社はそれを社会保障の申請などに転用してはならないことになっている。また、証券会社や銀行の金融機関は、お客に代わって税の申告をするために番号を尋ねることはできるが、それを顧客リストづくりに使用してはならないとされている。