これでもう怖くない、中小企業向けマイナンバーの基礎知識　④

原則として個人番号は、番号法に定められた利用範囲を超えて利用することはできないほか、特定個人情報（個人番号をその内容に含む個人情報）をむやみに提供することもできません。

また、個人番号を取り扱う際は、個人番号の適切な管理のために必要な措置を講じなければなりません。
具体的な措置については、平成26年12月に特定個人情報保護委員会より「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」が示されていますが、このガイドラインに沿った措置が必要になります。

国税に関する手続において、事業者の方は従業員や顧客の個人番号を記載した書類の作成・保管等を行うことになりますが、その取扱いについては、1書面により行う場合、2システムにより行う場合、3委託により行う場合などが考えられます。

事業者の方は、その取扱方法や事業規模等に合った措置が必要となりますが、ガイドラインや特定個人情報保護委員会のFAQにおいて、それぞれの対応方法が詳しく解説されていますので、ご確認の上、必要な対応を行ってください。

マイナンバーを取得した民間企業は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じることが求められます。具体的には、特定個人情報の取扱いに関する基本方針及び取扱規程等を策定したうえで、4つの安全管理措置（組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置）を講じることが必要です。
詳細については、2014年12月11日に公表された「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」の「（別添）特定個人情報に関する安全管理措置（事業者編）」を参照してください。

個人情報保護法における「個人情報取扱事業者」に該当しない小規模な民間企業でも、安全管理措置を講じることが義務付けられます。
なお、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」の「（別添）特定個人情報に関する安全管理措置（事業者編）」では、【中小規模事業者における対応方法】が示されています。
生存する個人だけではなく、「死者」のマイナンバーも安全管理措置の対象です。

組織内でマイナンバー取扱担当者や責任者の役割を明確にすることが求められます。相互牽制体制や情報漏洩時の報告連絡体制などを整備し、ミスや不正が起こりにくい体制を作ることが求められています。

※中小規模事業者で事務取扱担当者が複数いる場合は、責任者と事務取扱担当者を区分することが望ましい、とされています。

組織的安全管理措置の整備
・事務における責任者の選任及び責任の明確化

・事務取扱担当者の選任及びその役割の明確化並びに取扱う特定個人情報等の範囲の明確化

・取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録するための手段の整備

・特定個人情報ファイルの取扱状況を確認するための手段の整備

・情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制の整備

・特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取組む体制の整備

人的安全管理措置
　事務取扱担当者の監督や教育
（これには、直接マイナンバーを使用して業務を行う担当者だけではなく、従業員から担当者へ渡すまでの間に経由する直属の上司や事業所責任者も含まれます。）

・特定個人情報等を取扱う区域の管理

マイナンバー等を取扱う事務を実施したり、マイナンバーが保管されているサーバーが管理されている場所を明確にすることが求められています。そして、それらの場所への入室や機器の持ち込みを制限することにより、物理的にマイナンバーに接触できる人や機会をできるだけ少なくすることで、漏洩の危険を減少させることができます。

・機器及び電子媒体等の盗難等の防止

マイナンバー等を取扱う機器・電子媒体・書類などを施錠できるキャビネットや金庫に保管したり、ノートPCなどをセキュリティワイヤーで固定するなどして、マイナンバーが物理的に盗まれるのを防ぐことが求められています。

・電子媒体等を持ち出す場合の漏洩等の防止

マイナンバー等が記録された電子媒体や書類を持ち出す場合、容易に中身が判明しないような措置や、追跡可能な移送手段を利用することが求められています。電子媒体であればファイルを暗号化したりパスワードロックをかける、書類の場合は封や目隠しシールをして、郵送等する場合は配達記録や受取証明がとれるサービスを利用することが考えられます。
※中小規模事業者では、持ち出しの際はパスワードロックをかけたり封筒に封入し鞄に入れて運搬するなど、紛失・盗難を防ぐための方法をとることでよいとされています。

・個人番号の削除、機器および電子媒体等の廃棄

個人番号関係事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除または廃棄することが求められています。マイナンバーが記載された書類や記録された電子媒体は、安易に捨てるのではなく、細かく裁断できるシュレッダーにかけるなどして、復元されないようにして捨てましょう。また、削除または廃棄した場合は、その記録を保存します。さらに、削除または廃棄の作業を外部業者等に依頼した場合は、廃棄証明等を取得する必要があります。
※中小規模事業者では、マイナンバー等を削除・廃棄したことを責任ある立場の者が確認することでよいとされています。

【アクセス制御】
情報システムを使用して個人番号関係事務を行う場合、事務取扱担当者及び当該事務で取扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行います。
中小規模事業者における対応方法
特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定することが推奨されます。
　また、機器に標準装備されているユーザー制御（ユーザーアカウント制御）により、情報システムを扱う事務取扱担当者を限定することが推奨されます。

【アクセス者の識別と認証】
特定個人情報等を取扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証します。
事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等があげられます。
中小規模事業者における対応方法
特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定することが推奨されます。
　また、機器に標準装備されているユーザー制御（ユーザーアカウント制御）により、情報システムを扱う事務取扱担当者を限定することが推奨されます。

【外部からの不正アクセス等の防止】
情報システムを外部からの不正アクセス又は不正ソフトから保護する仕組みを導入します。
中小規模事業者における対応方法
上記の通り（特例はありません）

【情報漏えい等の防止】
特定個人情報等をインターネットのメール等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講じます。
通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が推奨されます。
情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護などが推奨されます。
中小規模事業者における対応方法
上記の通り（特例はありません）

税理士や社労士に人事・労務事務を委任しているケースについて紹介します。以下の3点で注意が必要です。

　1つめは委託先の適切な選定。設備、技術水準、従業者に対する監督・教育の状況、その他、委託先の経営環境の確認をあらかじめしておく必要があるでしょう。

　2つめは委託先に安全管理措置を遵守させるために必要な契約の締結です。秘密保持契約、特定個人情報の持ち出しの禁止、それらを規定に盛り込んで契約を締結するべきです。

　3つめは委託先における特定個人情報の取扱状況の把握。外部委託しているので自社はさほど関係ないということではなく、委託先に関しても適切な管理をしていかなくてはならないのが実情です。

いくら安全管理措置を完璧にしたとしても、マイナンバーを巡る不祥事（情報漏えい等）が起こらないという保証はありません。
あくまでも、個人番号を扱うのは「人」であるということを忘れてはいけません。

もし、従業員が意図的に個人番号を含む個人情報を漏えいさせてしまった場合に、会社は懲戒処分を行うことになります。
会社で懲戒処分を行うには、就業規則に懲戒の根拠となる処分事由と、これに対する処分の種類を明確に定めておく必要があります。　
「このような違反行為を行った者には、このようなペナルティを与える」ということを、事前に従業員全員に周知していることが重要です。

情報を意図的に漏えいさせてしまうといった行為は、懲戒処分を受けてしかるべきでしょう。
しかし、該当する懲戒事由が就業規則上に記載されていない場合は、原則として懲戒処分を行うことすら難しくなります。

情報漏えいに関して常識的には考えつかないような行為まで就業規則でフォローをするのは不可能ですが、「個人番号を含む個人情報を故意または重大な過失によって漏えいさせてはならない」といった内容は、就業規則に記載しておく必要があるでしょう。

また、前述の「個人情報の利用目的」や「情報管理措置」をすでに就業規則や付属規程で定めている会社もあります。
マイナンバー制度にも対応できているか、この機会に就業規則や付属規程を見直すことも考えなければなりません。