中小企業におけるマイナンバーの取り扱い時の注意点やセキュリティー対策、中小企業がとるべき措置などをまとめました。
マイナンバーは、行政を効率化し、国民の利便性を高め、公平かつ公式な社会を実現する社会基盤であり、期待される効果としてはいくつかあります。まず、行政機関や地方公共団体などで、様々な情報の照合、転記、入力などに要している時間や労力が大幅に解除されます。複数の業務の間での連携が進み、作業の重複などの無駄が解除されるようになります。
マイナンバーを扱う際には十分に注意しなければなりません。
会社の中にはその対策のため、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置という大きく分けて4つにわけ、管理する必要があります。個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません。
対処方針の検討
組織体制、社内規程、担当部門・担当者の明確化、身元確認・番号確認方法、安全管理措置などの方針を考えることになります。しかし、現実的には、ほとんどの中小企業では、マイナンバーのための専門の組織・担当者や新しい規程を作ったりするほどの余力がないものと思われます。 そのため、まずはエクセル等で管理するマイナンバーに必ずパスワードを設定しておくなど、最低限のセキュリティ管理をしたり、不必要に多くの担当者にマイナンバーを触らせないなど、自社の現状にあわせて、運用できるレベルから対処方針を検討してください。
ただし、上述したパート、アルバイトの多い業種の中小企業の方は、場合によっては、総務、経理、人事の人員を増員したり、マイナンバー対応を外部の専門家に依頼するなど、大企業に準じた対応が必要になるかもしれません。
マイナンバーを扱う時での注意事項
マイナンバーから得た情報が必要な場合は必ず会社で責任を持って管理しなければなりません。必要ではなくなった場合、会社はその情報を破棄しなければなりません。
しかし特定個人情報は、社会保障及び勢に関する手続書類の作成事務を行う必要がある場合に限り、保管し続けることができます。個人番号が記載された書類のうち所管法令によって一定期間保存が義務付けられているものは、その期間保管することとなります。
例えば*雇用契約等の断続的な契約関係にある場合には、従業員等から提供を受けた個人番号を給与の源泉徴収事務、健康保険・厚生年金保険届出事務等のために翌年度以降も断続的に利用する必要が認められることから、特定個人情報を継続的に保管できると解されます。
*従業員等が休職している場合には、復職が未定であっても雇用契約が継続していることから、特定個人情報を継続的に保管できると解されます。
*土地の賃貸借契約等の継続的な契約関係にある場合も同様に、支払調書の作成事務のために継続的に個人番号を利用する必要が認められることから、特定個人情報を継続的に保管できると解されます。
組織全体としてのセキュリティ対策が問われる
基本方針では、マイナンバーを取り扱う上での基本理念や法令遵守、安全管理についての方針を定めておきます。これによって、従業員に制度を周知しやすくなりますし、実務担当者への研修もやりやすくなるでしょう。源泉徴収票などの書類を作成する際にどのようにマイナンバーを取り扱うのか、具体的な手順や方法をわかりやすく示しておくことで、正確かつ効率的な事務を行うことができるようになるでしょう。
組織的安全措置とは、組織全体で取り組まなければいけない管理対策のことです。具体的には、個人情報の管理体制を整えることが挙げられます。
まずは、マイナンバーを取り扱う担当者を明確にすること。そして、それ以外の従業員が関わることのできないような仕組みをあらかじめ作っておくことが求められます。
人的安全管理措置とは、人的ミスによる情報漏洩やデータの損失を未然に防ぐための措置のことを指します。
具体的にいえば、マイナンバーの取り扱い担当者への教育を徹底し、企業がしっかりと監督しなければならないということです。研修を強化することが求められます。
マイナンバー関連の事務を行う部屋を隔離するとか、関連書類を鍵付きの場所に保管するとか、座席の配置を工夫するといった対策が考えられます。おもに内部からの漏洩を防ぐための対策だといえるでしょう。
技術的安全管理措置とは、技術的な側面からセキュリティ対策を強化する措置のことをいいます。
具体的には、アクセス権限を担当者のみに限定するようなシステムを構築したり、外部からの不正アクセスの予防策を講じたり、ウイルス対策を強化することなどが挙げられます。こちらはおもに外部からの漏洩を防ぐための対策となっています。
中小企業の特例措置に関する具体な運用方法
基本方針や取扱規定の策定は義務ではありません。また公表することに関する義務規定もないため、策定業務に関する優先順位はそれほど高くしておく必要はありません。特定個人情報を取り扱う事務担当者が使用するパソコンは、背後からのぞき見されないように座席配置します。出入り口付近を避けたり、パーティションを使用したり、背後が壁になるようにレイアウトを変更したりすることによって、物理的安全管理措置における特定個人情報等を取り扱う区域を設定し、安全管理措置を講じることができます。
パソコンで特定個人情報データを管理する場合、OSのアップデートやセキュリティ対策ソフトの更新の頻度を上げ、常に最新の状態にしておきましょう。外部からの不正アクセスによるデータ漏えいを防ぐことができます。
法律で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄又は削除しなければなりません。