マイナンバー制度スタートに関連して、中小規模事業者への特例があることを知っておきたい!

中小規模事業者には、組織的安全管理措置の中で幾つかの軽減措置が特例として認められているみたいです。今回はこのことに関して詳しく紹介している記事を集めてみました。

「中小規模事業者」とは?

「中小規模事業者」とは、事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいう。
・個人番号利用事務実施者
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
・個人情報取扱事業者
金融分野には中小規模事業者は存在しないのですね。

ちなみに従業員の数が100人以下の事業者は、日本には約400万人ほどいるそうです。

 (17628)

取扱規定の策定について

1. 取扱規定の策定について

(原則)
特定個人情報等の具体的な取り扱いを定める取扱規程を策定しなければなりません。

(特例的な対応)
取扱規程の策定に代えて、以下の対応を取ることができます。
・ 特定個人情報等の取扱を明確化する
・ 事務取扱担当者が変更となった場合、確実な引き継ぎを行い、
  責任の在る立場の者が確認する。

(アドバイス)
取扱規程の策定は義務付けられていないものの、取扱規程は個別具体的な取扱いの拠り所となるものです。また、事務引き継ぎの際の利便性も考慮すれば策定するほうが良いでしょう。

策定には、テンプレート資料をアレンジするといいそうですよ。
 (17630)

マイナンバーの安全管理措置について特例が認められている。

マイナンバーの安全管理措置

取扱規程
基本方針を総論とするならば、取扱規程は各論にあたるものです
マイナンバーの取扱いについて具体的な対処を文面化したものであり、実際の体制運営の基盤となります
以下に列挙した、各分野での安全管理措置の制度設計図ともなります

組織的安全管理措置
事業者・団体の内部で、組織としてのマイナンバー取扱いへの対策のことです

人的安全管理措置
マイナンバーの取扱担当者やその監督についての対策のことです
また、従業者への教育・研修の実施も内容として含まれています

物理的安全管理措置
マイナンバーの管理について、専用の取扱区画を設けるなど、物理的な対策を行うものです
近年の情報漏えいは、情報へのアクセス権を有する従業者による、不正なアクセスが原因となって生じています
そのため、必要な時以外は物理的に取扱いが不可能な状況にしておくなどの対策が求められているのです

技術的安全管理措置
主としてアクセス権の制御や外部からの不正アクセス防止など、PC上での技術的な対策をいいます
高度に情報化が進んだ現在では、技術的安全対策措置は必須であると言えます

中小規模企業における、マイナンバー安全管理措置の特例対応

従業員が100人以下の中小規模事業者に対しては、上記の全管理体制のうち、一定のものについては軽減しても良いことが、公表されています。
これは、当該事業者の事務で取り扱われるマイナンバーの数量が、比較的少なく、取扱う従業者が限定的であることを理由としています。
もちろん、中小規模事業者であっても、正規の管理措置を行うことは「より望ましい」とされています。
しかし、何より大事なことは、日常業務に負担がかからないようにすることです。
そのため中小規模の事業者においては、安全管理措置の要点をきちんと押さえて、自身に必要十分な体制を整えることを優先すべきと考えます。

●個人番号利用事務実施者
●委託に基づいて、個人番号利用事務もしくは個人番号関連事務を業務として行う事業者
●金融分野(金融庁ガイドライン1条1項に規程される金融分野)の事業者
●個人情報取扱事業者

安全管理措置は、あくまで日常業務の一つとして行っていけば支障はないと思います。

焦らず、少しずつ体制を整えていくことが大切です。

 (17632)

中小企業のマイナンバー特例措置が認められない場合

中小企業は取扱件数を考慮し安全管理措置について特例が認められていますが、委託を受けた場合は特例措置が認められません。

特定個人情報に関する委託を受けた場合は、委託者自身が本来果たすべき内容と同等の安全管理措置を講じなければならないからです。

ただし「委託に関する同等の安全管理措置」は、番号法や個人情報保護法の規定を満たしていれば良く、委託者と同レベルの高度な水準が求められているわけではありません。

また既にマイナンバーと同程度の個人情報保護に関する委託契約が締結されている場合は、再締結することなく委託を受けることが可能ですが、今回のマイナンバーで初めて委託する場合は契約締結をすることになります。

委託者は委託先に対して監督責任を負うことになるため、委託先で特定個人情報に関する情報漏えいがあった場合は、委託先だけでなく委託者もマイナンバー法に違反したとして罰せられる可能性があります。

そのため業務委託内容として契約締結を求められることになりますが、請負に関する契約書は収入印紙が必要になることから、契約書以外の書面で契約締結することを委託者から求められることもあるかもしれません。

契約書以外の書面で委託契約を締結したとしても、客観的に記録されている方法であれば、書式はどのようなものであっても問題ありません。

委託される側になると特例が受けられないというのは、初めて知りました。
 (17634)

政府のガイドライン

中小規模事業者に対する特例を設けること
により、実務への影響を配慮しています。

d 情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅
速に対応するための体制を整備する。
情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の
発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を
早急に公表することが重要である。

中小規模事業者における対応方法
○ 情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者
に対する報告連絡体制等をあらかじめ確認しておく。

一部抜粋です。

情報漏えい等の事案が発生したら、どうしても公にしたくないと思うでしょうが、隠さずにすぐに公表することを国は勧めています。

 (17636)