マイナンバーには厳しい安全管理措置が定められていますが、従業員100人以内の中小規模事業者には特例が認められています。では100人を超える企業はどのようにマイナンバーを管理するべきでしょうか。今後も厳しくなるであろう情報管理義務を見据えて外部委託する方が賢いかもしれません。
100人を境に変わるマイナンバーの管理
via words-free.com
従業員数が100名以下の中小企業は取扱件数がそれほど大きくないこともあり、原則の措置よりも緩やかな特例措置を施用することができます。
100人を超える企業に求められる「取扱規程等に基づく運用」
b 取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利用 実績を記録する。
≪手法の例示≫
* 記録する項目としては、次に掲げるものが挙げられる。 ・ 特定個人情報ファイルの利用・出力状況の記録
・ 書類・媒体等の持出しの記録
・ 特定個人情報ファイルの削除・廃棄記録
・ 削除・廃棄を委託した場合、これを証明する記録等
・ 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者
の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
100人以下の企業に求められる「取扱規程等に基づく運用」
取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する
100人を超える企業に求められる「取扱状況を確認する手段の整備」
c 取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備する。
なお、取扱状況を確認するための記録等には、特定個人情報等は記載 しない。
≪手法の例示≫
* 取扱状況を確認するための記録等としては、次に掲げるものが挙げられる。
・ 特定個人情報ファイルの種類、名称
・ 責任者、取扱部署
・ 利用目的
・ 削除・廃棄状況
・ アクセス権を有する者
100人以下の企業に求められる「取扱状況を確認する手段の整備」
特定個人情報等の取扱状況のわかる記録を保存する
上記のように組織的安全管理措置の「取扱規程等に基づく運用」と「取扱状況を確認する手段の整備」だけを見ても従業員数が100人を超えるとかなり厳しくなることがわかるかと思います。では従業員数100人を超える企業はどのようにマイナンバーを管理するべきなのでしょうか。
100人を超える企業はアウトソーシング化が進む?
via makepo.jp
マイナンバーの専門家影島弁護士の考え
個人的には、今回のマイナンバー法をきっかけに、人事・給与システムを自社で持たないで専門業者に委託する「アウトソーシング化が進む」と考えています。その根拠は2つあり、1つは、これまで説明したように安全管理措置への対応は数多いのですが、委託をする場合は「委託先への監督義務しかない」のです。もう1つは、近い将来、個人情報保護法の改定なども控えており、よりいっそう情報管理が厳しくなる。となると、今後も自社でシステム構築をし続けるのかどうかは悩ましいところです。
マイナンバー業務を委託する際には委託先の監督義務が発生します!
Q4-1-4 マイナンバー(個人番号)を取り扱う業務の委託や再委託はできますか?
A4-1-4 マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。また、委託を受けた者は、委託を行った者の許諾を受けた場合に限り、その業務の全部又は一部を再委託することができます。
委託や再委託を行った場合は、個人情報の安全管理が図られるように、委託や再委託を受けた者に対する必要かつ適切な監督を行わなければなりません。委託や再委託を受けた者には、委託を行った者と同様にマイナンバーを適切に取り扱う義務が生じます。(2014年6月回答)
委託しても監督義務が発生しますが、逆に言うと監督義務だけしっかり行えばよいので比較的事務作業の負担を軽減できるという考え方もあります。
個人情報保護法も改正予定です!
3 平成27年個人情報保護法改正のスケジュール
(1) 施行日
改正スケジュールは附則1条で定められている。
改正法案1条の施行日は平成28年1月1日であり(附則1条2号)、改正法案2条の施行日は「公布の日から起算して2年を超えない範囲内において政令で定める日」である(附則1条柱書)。「公布の日」は通常、国会で成立してから間を置かない日であり、参考までに、現行個人情報保護法成立時は、平成15年5月23日に成立し、同30日に公布、マイナンバー法成立時は、平成23年5月24日に成立し(平成23年5月23日参議院委員会可決)、同31日に公布されている。
なお余談であるが、特定個人情報保護委員会委員長で、個人情報保護委員会委員長に就任される予定(改正法案附則7条1項)の堀部政男一橋大学名誉教授の誕生日は奇しくも、現行個人情報保護法の可決日及びマイナンバー法の可決日前日と同じ(昭和11年)5月23日である。
4 事業者の対応
仮に、改正法案が平成27年6月に成立したとすると、改正法案2条関係の施行日は平成29年6月までということになり、事業者としては平成28年度中には改正法に係る義務への対応を終わらせておくスケジュールで準備する必要があろう。
特に、いわゆる5000件要件により個人情報取扱事業者としての義務を免れていた事業者は、全く新たに個人情報の取扱いに関する義務を遵守する体制を整える必要があるため、弁護士への相談を含め、早急に準備を始めることをお勧めする。
この際、いままで主務大臣(主務官庁)に行っていた事前相談は、個人情報保護委員会と行うことになると思われるが、平成28年1月1日の段階では監督権限を持たない個人情報保護委員会と、どの程度の事前相談ができるかは現時点では不明である。体制整備の状況を確認する他ない。
個人情報保護法も改定予定であり、これらに合わせて自社内でいちいちシステムを作り直すのは却ってコストがかかるかもしれません。
外部委託先の選定基準は?プライバシーマークなどを取得している企業を探そう!
via upfgroup.co.jp
もちろんコストとの兼ね合いがありますが、たとえば「プライバシーマーク」のような外部認証を取得した業者や税理士事務所などに、個人番号管理を委託するのも一つの方法です。
プライバシーマークとは?
プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者(基本的には法人単位。ただし、医療関連については病院ごとなど例外あり)に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) により使用を認められる登録商標(サービスマーク)の事である。Pマークと略して呼ばれることもある。
100人を越えればマイナンバー管理を委託したほうが効率的ですが、難しいのは委託先の選定です。選定基準はいろいろあるかと思いますが、まずはプライバシーマークを基準にしてみてはいかがでしょうか。