マイナンバーのセキュリティ対策の前に行うこと。

会社として、どの業務（給与の源泉徴収事務、健康保険・厚生年金保険の届出事務など）に対し特定個人情報を使用するのか明確にします。

担当者を明確にする理由は、マイナンバー取扱事務の範囲を超えたところでマイナンバーを含む特定個人情報が利用されないような管理体制を構築するためです。
事業者がその特定した範囲で、適切な安全管理措置を実施できるかどうか、が重要なのであって、形式的に明確化したところで意味はありません。

企業がマイナンバーを扱うにあたっては、企業規模を問わず、組織としてあらかじめ「基本方針」を策定することが求められています。
基本方針とは、自社における特定個人情報の取扱いに関しての安全性確保等を図る目的で対応の方針を明確にしたものです。

実際のところ、法律に「基本方針を定めなさい」とは書いてありませんが、策定しておけば企業側のリスク管理につながります。
内閣府外局の第三者機関である「特定個人情報保護委員会」が示す「特定個人情報の適正な取扱いに関するガイドライン」に基本方針の事例が掲載されているので、参考にするとよいでしょう。

基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むため に、基本方針を策定することが重要である。
≪手法の例示≫
* 基本方針に定める項目としては、次に掲げるものが挙げられる。 ・ 事業者の名称
・ 関係法令・ガイドライン等の遵守
・ 安全管理措置に関する事項
・ 質問及び苦情処理の窓口 等

ガイドラインに置いても、明確化した特定個人情報を取り扱う事務において、事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない。としています。

取扱規程等は、管理段階ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定めることが、ガイドラインでは<<手法の例示>>として示されています。

① 取得する段階
② 利用を行う段階
③ 保存する段階
④ 提供を行う段階
⑤ 削除・廃棄を行う段階