従業員などのマイナンバーを取得して利用する企業は、情報を安全に管理するための適切な安全管理措置を行う必要があるとされています。この安全管理措置の一つである特定個人情報取扱規程についてまとめました。
「特定個人情報の取扱規定」とは
「特定個人情報」とは、マイナンバーを含んだ個人情報のことを指します。
「取扱規程」とは、この「特定個人情報」を安全に運用するために定めるルールのことを指します。
例えば、特定個人情報を扱う場合のマニュアルや、業務フローなどを定めることなどが考えられます。
このようなルールを、文書などを使って、必要な時に参照しやすい状態としておくことが必要とされています。
「特定個人情報の取扱規程」を策定することは、企業が特定個人情報を扱うにあたって行う必要がある「安全管理措置」のうちの一つと位置づけられています。
via pixabay.com
中小企業にとっては義務ではない
なお、中小企業に該当する会社の場合は、取扱規定の策定は義務ではないとされています。
中小規模事業者においては、必ずしも取扱規程等の策定が義務付けられているものではなく、特定個人情報等の取扱方法や責任者・事務取扱担当者が明確になっていれば足りるものと考えられます。
ただし、取扱規程の策定を行わない場合でも、
・情報の取扱の方法を明確にする
・責任者や取扱担当者を明確にする
といった「明確化」が必要とされています。
具体的にどのような方法で明確化をすべきかは、次に引用するとおり、個人情報保護委員会のガイドラインで示されています。
明確化の方法については、口頭で明確化する方法のほか、業務マニュアル、業務フロー図、チェックリスト等に特定個人情報等の取扱いを加えるなどの方法も考えられます。
ただ、策定をしなくても罰則があるわけではありませんが、万一のリスクを考えると、よほど余裕がない場合を除けば、取り組んでおいたほうがよいのは間違いありません。
どのような内容を定める必要があるか
それでは、特定個人情報の取扱規程に盛り込むべき内容は、具体的にはどのようなものが必要なのでしょうか。
政府のガイドラインによると、次のようなものが必要とされています。
政府のガイドラインによると、次のようなものが必要とされています。
≪手法の例示≫
* 取扱規程等は、次に掲げる管理段階ごとに、取扱方法、責任者・事務取扱担
当者及びその任務等について定めることが考えられる。具体的に定める事項
については、C~Fに記述する安全管理措置を織り込むことが重要である。
① 取得する段階
② 利用を行う段階
③ 保存する段階
④ 提供を行う段階
⑤ 削除・廃棄を行う段階
* 源泉徴収票等を作成する事務の場合、例えば、次のような事務フローに即し
て、手続を明確にしておくことが重要である。
① 従業員等から提出された書類等を取りまとめる方法
② 取りまとめた書類等の源泉徴収票等の作成部署への移動方法
③ 情報システムへの個人番号を含むデータ入力方法
④ 源泉徴収票等の作成方法
⑤ 源泉徴収票等の行政機関等への提出方法
⑥ 源泉徴収票等の控え、従業員等から提出された書類及び情報システムで
取り扱うファイル等の保存方法
⑦ 法定保存期間を経過した源泉徴収票等の控え等の廃棄・削除方法 等
via pixabay.com
会社の実態に合った規程を
具体的にどのようなルールを決めるかは、会社の規模や従業員の数、オフィスの広さなどの実態に合わせて作る必要があります。
特定個人情報等の取扱いに際して、どれくらい厳しく管理するかは、企業の規模によって、また、それぞれの企業によって違ってきます。例えば、大企業であれば、ICカードで入室を制限したりすることも考えられますが、中小零細企業では余り現実的ではありません。特定個人情報等を漏えいしないために、それぞれの企業で、できる範囲の管理をしていれば問題になることはありません。
via pixabay.com
既存の規定に追記する対応も可能
個人情報の取扱規程をすでに作っている企業は多いと考えられます。
個人情報の取扱規程にマイナンバーの項目を追加した場合でも、特定個人情報の取扱規程を策定したことになります。
取扱規定等に関しても個人情報保護に関する既存の規定に対して特定個人情報を付加える形式をとることも可能です。