2015_11月
2015_11(No412)よりP8、9マイナンバー特集です。
 

③「安全管理措置が必要に」

廃棄・削除が義務
 第3回は、民間企業で必須となる3つのマイナンバー対応(①個人番号の収集、②個人番号の保管、③帳票への記入と行政機関などへの提出)のうち、②個人番号の保管(安全管理措置)について詳しく解説する。
 特定個人情報(個人番号が含まれた個人情報)は、個人番号を記載した書面を行政機関に提出する場合など以外は保管してはならない。従って、書面を提出する事務を行う必要がなくなった時点で個人番号を廃棄・削除しなければならない。このように廃棄・削除が義務である点が、個人番号の大きな特徴である。例えば、従業員の個人番号は、退職後、「扶養控除等(異動)申告書」の法定保存期間である7年が経過した時点で、廃棄・削除する必要がある。
 
中小企業も対象
 個人情報保護法は、5千件以下の個人情報のみを取り扱う企業には適用がなかったが、マイナンバー法は全ての企業に適用がある。従って、これまで個人情報保護法が定める安全管理措置などを講じてこなかった中小企業においても安全管理措置を講じる必要があるため、大きな影響がある。
 ただし、マイナンバー法のガイドラインが定める安全管理措置には、「中小規模事業者」(従業員数が100人以下の企業であって、委託を受けている企業や金融分野の企業などを除いたもの)に対する軽減措置が定められている。
 
担当者を明確化
 まず、安全管理措置の前提として、①個人番号を取り扱う事務の範囲、②特定個人情報などの範囲、③特定個人情報などを取り扱う事務に従事する従業者(事務取扱担当者)を明確にすることが必要である。例えば、①は源泉徴収票を取り扱う事務、②は従業員・扶養親族などの氏名・個人番号、③は税務関係の帳票を取り扱う経理担当者、と明確にすることになる。その上で、基本方針を策定することが重要であるとされている。
 一般の企業においては取扱規程などの策定が義務とされている。これに対し、中小規模事業者では、その策定は義務ではないが、①特定個人情報などの取り扱いなどを明確化する、②事務取扱担当者が変更となった場合、確実な引き継ぎを行い、責任ある立場の者が確認することが求められている。
 組織的安全管理措置として、一般の企業においては、システムログまたは利用実績の記録や、特定個人情報ファイルの取り扱い状況を確認するための手段の整備などが義務化されている。これに対し、中小規模事業者では、①特定個人情報などの取り扱い状況の分かる記録を保存する、②情報漏えいなどの事案の発生などに備え、従業者から責任ある立場の者に対する報告連絡体制などをあらかじめ確認しておく、③責任ある立場の者が、特定個人情報などの取り扱い状況について、定期的に点検を行うことなどが求められている。
 また、人的安全管理措置として、事務取扱担当者の監督および教育が必要である。
 
セキュリティ対策も
 物理的安全管理措置としては、さまざまなことが求められている。典型的な例としては、特定個人情報が保存されたPCが盗難に遭わないように管理を厳重にした上で、帳票を取り扱う担当者以外の従業員が見ることができないようオフィスの座席の配置などを工夫して間仕切りを設置したり、オフィスから帳票を持ち出す際には封筒や鞄に入れることなどが求められる。
 さらに技術的安全管理措置として、情報が漏えいなどしないようさまざまな技術的な措置が求められている。中小規模事業者においては、特定個人情報を取り扱うPCをインターネットに接続しないか、ファイヤーウォール機能のあるルーターを使用するなどして外部からのアクセスを防止することが、最低限求められている。
 
 

④「番号収集の準備を」

  平成28年1月以降、税と社会保険関係の書類に順次個人番号を記載して行政機関などに提出する必要がある。民間企業は平成27年中に何をしておくべきであろうか。
 平成27年10月の番号通知以降、個人番号を収集することが可能になる。従って、企業は、9月末までに個人番号を受け入れる準備を行う必要がある。
 例えば、誰から、いつ、どのように個人番号を収集するのか、また、収集した個人番号をどのように保管するのかなどを決めておく必要がある。
 
従業員分は年末調整で
 多くの企業にとって、取り扱う量が多い個人番号は、従業員およびその扶養親族などの個人番号となる。この個人番号はどのように収集することになるだろうか。
 平成27年11月ごろから翌年1月にかけての年末調整時に、「平成28年分給与所得者の扶養控除等(異動)申告書」を従業員が会社に提出することになる。同申告書には、従業員および扶養親族などの個人番号が記載されているから、これをもって個人番号を収集することが簡便かつ確実であると考えられる。
 「扶養控除等(異動)申告書」の提出を受ける際には、従業員本人の本人確認が必要となるが、扶養親族などの本人確認は不要である。この点においても、同申告書の提出をもって個人番号の収集をすることには大きなメリットがある。
 従って、「扶養控除等(異動)申告書」によって個人番号を収集する際に、その個人番号を社会保険の届出事務などでも利用するために、利用目的の通知などをしておく必要がある。
 
取引先や株主は個別に対応
 取引先および株主からは、個別に個人番号を収集する必要がある。
 取引先(講演を依頼する専門家や不動産のオーナーなど)については、担当者が訪問して対面で提供を受けるか、郵送でやりとりするなどして、個人番号を収集する必要がある。
 株主についても、個別に収集するか、株主総会の招集通知の中に個人番号の提供および本人確認書類の同封を依頼する書面を同封し、返信するよう求めるなどして収集することになる。
 
委託を活用し事務負担を軽減 
 特定個人情報の取り扱いを第三者に委託することは可能である。企業は、この委託を活用することにより、マイナンバー法への対応を大幅に軽減することが可能になる。
 例えば、個人番号の保管に関しては厳しい規制があるが、これを回避する有力な手段として、会計事務所や社会保険労務士事務所などに特定個人情報の取り扱いを全面的に委託したり、クラウド・サービスを利用するなどして、会社として特定個人情報を保管しないようにすることが考えられる。
 そうすれば、自らが特定個人情報を保管するための安全管理措置は必要なくなり、委託者としての監督義務、すなわち、①特定個人情報を適切に取り扱い、その取り扱い状況を把握することができる業者・サービスを選定し、②ガイドラインに準拠した契約を締結するなどすれば、会社としての義務を果たしていることになるのである。
 これは、個人番号の収集についても同様のことが言える。会計事務所や社会保険労務士事務所などに個人番号の収集を委託したり、本人確認書類(通知カードと運転免許証など)の画像ファイルをアップロードさせて電子的に収集することができるクラウド・サービスを利用すれば、個人番号収集の際の本人確認の事務負担を大幅に軽減することが可能となる。
 
(牛島総合法律事務所 弁護士・影島広泰)
 
平成27年11月会議所ニュース本紙
→PDF
2015_412_11.pdf

主な内容

P1(表紙撮影場所:霧ヶ峰)

P2_3(諏訪商工会議所設立記念日) 

P4_5(おもてなしギフトショップ、呑みあるき、マルシェ、諏訪圏工業メッセ、他)

P6_7(イベント情報、最低賃金、労働保険適用促進月間、他)

P8_9(マイナンバー特集)

P10_11快進撃企業に学べ、トレンド通信*本紙のみ掲載、行事予定、新会員のご紹介)

P12(講演会、新年会)

 

以上