中小企業のマイナンバー対策はどうしたらいいでしょうか?
マイナンバーはいつから誰がどのような場面で使うの?
■平成28年1月からマイナンバーを利用します。
平成28年1月から、社会保障、税、災害対策の行政手続にマイナンバーが必要になります。マイナンバーは社会保障、税、災害対策の中でも、法律や自治体の条例で定められた行政手続でしか使用することはできません
マイナンバーの安全管理
従業員から集めたマイナンバーの管理については、セキュリティ対策も含めて厳重に扱います。
マイナンバーの取扱いは、事務担当者と責任者だけに限定し、他の従業員や外部者には見られないような対策が必要です。
中小企業では以下のような点に気をつけます。(対策例です)
マイナンバー管理のセキュリティ対策例
•管理するパソコンには「ログインパスワード」を付与する
•管理するパソコン本体は「鍵のかかるロッカー」に入れる
•管理するパソコンには「セキュリティソフト」を入れる
•エクセルなどにまとめた場合は「データにパスワード」を付与する
•データを外部にメールで送信する場合は、パスワードをデータと一緒に送信しない(誤送信による漏えいを防ぐため)
•紙出力したものは「鍵のかかるロッカー」に入れる
•マイナンバーの取扱状況のわかる記録を保存する(例:11月30日 年末調整に使用)
•退社した社員については速やかに番号を破棄する
•事務作業をするパソコンは、後ろから他の人が見えない位置に配置する
特例措置が適用される条件とは
従業員数が100名以下の中小企業は取扱件数がそれほど大きくないこともあり、原則の措置よりも緩やかな特例措置を施用することができます。ただし以下の条件にあてはまらないことが条件となっています。
・個人番号利用事務実施者(国や地方公共団体、税務署、健康保険組合など)
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
・個人情報取扱事業者(5,000人以上の個人情報を保有している事業者)
つまり、・従業員数が100名以下
・民間事業者である
・マイナンバーに関する業務委託を受けていない
・金融分野の事業者ではない
・個人情報取扱事業者ではない
というような場合に、中小企業における特例措置を活用することができるのです。マイナンバーに関する安全管理措置は、
・基本方針や取扱規定といった概念に関する事項(A.基本方針の策定 B.取扱規定の策定)
・担当部署や担当者といった組織や人的リソースに関する事項(C.組織的安全管理措置 D.人的安全管理措置)
・データ管理やセキュリティ対策といった実務に関する事項(E.物理的安全管理措置 F.技術的安全管理措置)
の3つに大別されます。原則として基本方針や取扱規定等の策定を行なうことになっていますが、中小企業の特例として既存の業務マニュアルや業務フロー図にマイナンバーに関する事項を盛り込むことで対応可能としています。
また、組織体制を整備することが求められていますが、中小企業の場合は責任者と事務取扱担当者に分けることによって組織体制の整備とすることができます。
さらに電子媒体等を持ち出す場合、事務所内の移動であったとしても十分に注意することが原則となりますが、中小企業の場合は電子媒体や書類を移送するための安全な方策を講じればよいとしています。
個人番号を削除した場合においても破棄した記録を保存することとなっていますが、例外規定として破棄したことを確認すれば事足りるとしています。
中小規模事業者における特例中小規模事業者においては、組織的安全管理措置について、以下のような軽減措置が特例として認められています。
項目中小規模事業者における対応方法
取扱体制の整備マイナンバー事務取扱担当者が複数いる場合は「事務取扱担当」と「責任者」を区分する事が望ましい
取扱規程等に基づく運用取扱規程等に基づく運用状況を確認するため、
システムログ又は利用実績を記録する
取扱状況を確認するための手段の整備特定個人情報等の取扱状況のわかる記録を保存する
情報漏えい等事案に対応する体制の整備かかる事態に備え、従業員から責任ある立場の者に対する報告連絡体制をあらかじめ確認しておく
取扱状況の把握及び安全管理措置の見直し責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う
「特定個人情報等の取扱状況のわかる記録を保存する」とある項目については、具体的には次のように記録をつける事が例示されています。
業務日誌等において、特定個人情報の入手・廃棄、源泉徴収表の作成日、本人への交付日、税務署への提出日等、取扱状況の記録をする
チェックリストを作成して、事務を行い、その記入済みチェックリストを保存する
実際には記録用のフォーマットやチェックリストを作成して、事務を行うたびにそれに記録、保存をする形式が望ましいと考えます。
そのためにも、特に理由がないのであれば中小規模事業者においてはマイナンバーは紙媒体での管理を行う方が、コスト低減に繋がるというのが、弊所の見解です。