ファウンドアクトは御社の経営や業務にかかわる改革・改善の取り組みを支援します。

TEL.090-8990-1266

〒704-8121 岡山県岡山市東区西大寺射越365-51

マイナンバー制度

00.マイナンバー制度 コンテンツ一覧とファウンドアクトのサービス紹介

マイナンバー制度のコンテンツは、次を掲載しています。

01.マイナンバー制度の概要
02.マイナンバー制度を定める準備
03.組織的安全管理措置
04.人的安全管理措置
05.物理的安全管理措置
06.技術的安全管理措置
07.特定個人情報保護規程を定める
08.マイナンバー制度での運用書式例
09.マイナンバー制度での管理帳票類

≪ファウンド・アクトがご提供する中小企業向けマイナンバー対応導入実践支援サービス≫

マイナンバー制度への対応を通じて、改正個人情報保護法にも同時に対応を目指しましょう

ファウンド・アクトでは、中小企業様向け支援として「マイナンバー対応 導入実践サービス」を行っています。また、中小企業のマイナンバー制度に対応したExcelでの対応ツール(マイム)を支援を行った企業様にご提供しています。2016年7月5日には、ファウンド・アクトのサービス内容をITC岡山の支援サービスとしてセミナーを開催し好評を得ています。

マイナンバー制度への対応がまだの中小企業様、今からでも十分に間に合います。

お申し込み・お問い合わせは、「マイナンバー対応 導入実践サービス」ページのチラシ、または問合せフォームから。
問合せフォームをご利用の場合は、お問合せ内容欄に「マイナンバー導入実践サービス 問合せ」と入力ください。

01.マイナンバー制度の概要

今さら聞けないマイナンバー制度ってどんな制度

用語説明を含めて超入門

マイナンバーとは、正式には特定個人情報とも呼ばれ「番号(個人:12桁、法人:13桁)+基本4情報(氏名・住所・生年月日・性別)」で構成されます。

この特定個人情報は、「社会保障・税・災害」の3つの分野にしか利用することはできません。個人情報は許諾が得られていれば、取得時の目的以外にも利用することができますが、この点はちがいます。番号法の位置付け

番号法は、個人情報保護法の特別法として定められていますので、基本的には個人情報保護法に定められている事項を引き継ぎます。
さらに、番号法にのみ定められていることがプラスされるというイメージです。

事業者への努力義務

個人番号の利用が直接的・間接的に認められる事業者や法人番号が付番される事業者に対し、番号制度の重要な関係者として、国又は地方公共団体が実施する施策に協力するよう努力義務を規定する(要約)ということが、番号法 第1章 総則に定められています。

番号法の盤即規定は、個人情報の罰則規定に比較すると重い罰則規定となっています。罰則対象には個人だけでなく法人も含まれます。つまり、従業員が犯罪を犯すと会社も罰せられる可能性があるということです。

4つの安全管理措置

番号法には、「組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置」の4つの安全管理措置が定められています。各々の安全管理措置の内容については口述します。

その安全管理措置を実施するために、「基本方針」「取扱規程等」を定めることとしています。取扱規程等となっているのは、管理帳票や運用のための書式を含めるからです。

業務のプロセスに沿って安全管理措置を定める枠組み

番号法では「取得」「利用」「保管」「提供」「廃棄」「開示・訂正・利用停止等」のプロセスを定めており、各々のプロセスに該当する安全管理措置を盛り込んで、各プロセスで特定個人情報を保護することを定めましょうと言っています。

こう見るとかなりのプロセスがありますので、私は、「利用」と「開示・訂正・利用停止等」が似ていると感じたので、くっつけてプロセスを定めています。

いずれにしても業務の流れのまとまり(アクティビティとかタスクとか呼ばれます)ごとに、安全管理措置を定めることです。

個人情報保護法との違い

(さらに…)

02.マイナンバー制度を定める準備

どのような流れで対応策を定めるのか

1.規程策定に慣れていない場合は、いきなり規定を定めることは難しいので、まず、4つの安全管理措置として自社は何が必要かを考えましょう。
2.これが定まってから、実際の業務の流れに沿って、どの管理措置をどの手順で行うかを「業務の流れ図」に落とし込みましょう。
3.それができてからようやく「取扱規程を定める」に着手することができます。

規程や社内ルールを定めることに慣れている方は、1→3でも構いませんが、1→2→3がお勧めです。

検討チームを作りましょう検討チーム

『山本さん。はい、あなたが担当です。制度を定めてください』では、山本さんはお手上げです。
マイナンバー制度にかかわる部署で協力して制度設計を行いましょう。

03.組織的安全管理措置

組織的安全管理措置とは、マイナンバー制度を運用する組織としての役割分担、取扱規程等を定める、取扱状況を確認する方法、情報漏えいが発生した場合の対応策、安全管理措置の見直しのやり方などを定めます。

マイナンバーの取扱の方法を規程として定めることをお勧めします。

中小規模事業者の特例が設けてあり、その中では本則で定めている安全管理措置よりも緩やかな管理でもよいとされていますが、適切に運用を行おうとするとやはりきっちりとしたルールが必要です。すでに、個人情報取扱規程を定めている企業では、その規定に特定個人情報の取扱規程を盛り込み調整することでOK。

まず、自社での役割分担を定めましょう。

事務取扱責任者は誰ですか、
事務取扱責任部門はどこの部署ですか、
事務取扱担当者は誰ですか

 番号法は責任の所在だけでなく事務担当者を定めることを求めています。マイナンバーは事務取扱担当者以外の人には(極力)目に触れないようにすることとなっています。例えば、総務部の人であってもマイナンバーの記載された書類の扱いは事務取扱担当者しかできません。

また、事務取扱担当者であっても自分が与えられた職務に該当する書類しか扱ってはいけないとされています。つまり、経理の人はおおむね「税に関する手続きの書類」しか扱ってはならず、(社会保険を人事の事務取扱担当者が担当することになっているなら)社会保険の書類は扱えないのです。

取扱状況を確認する方法とは、

(さらに…)

04.人的安全管理措置

人的安全管理措置として重要なのは、番号法の法令順守の教育です。

定期的にマイナンバー研修会を実施しましょう

番号法と自社の保護規定やルールを、定期的(毎年一度は実施しましょう)マイナンバー研修会に行いましょう。対象者は、すべての人(役員・従業員・パート・アルバイト等、対象外となる人はいません)です。

自社の保護規定やルールは当然説明するとして、番号法の理解も再度行うようにするとよいです。国税・内閣官房のHPには教育用DVDがあります。20分程度でわかりやすく解説されていてお勧めです。

運用上では、「特定個人情報の取り扱いに関する誓約書」(これは、マイナンバーの安全管理措置を順守し保護に努めるという従業員の誓約書です)は毎年、制約してもらうような運用とすることが多いですが、毎年の研修終了時に誓約書の提出を研修会場で行うと、漏れが少なく研修を行ったという証跡にもなります。

05.物理的安全管理措置

番号法の漏えいを防ぐ・マイナンバーが安易に事務取扱担当者以外の人の目に触れないようにするための物理的な措置を示します。

ガイドラインには、こんな例が記載されています。

作業場所を分離する(特別な作業場所の確保、またはパーティションで区切るなどの)
マイナンバーの記載された書類を格納するためのカギのかかるキャビネットを準備する
不要となった書類を廃棄する場合は、コンピュータ処理しても復元できない『細断』可能な裁断機(!(^^)!)を使用する

いずれにしても、物理的安全管理措置は自社事情にあったものでよいのです。
他社があんな風にしているからうちの会社も・・・は、必要ありません。

(例)作業場所を分離する
作業を行うときにだけ会議室を借り切って入室禁止の張り紙をして入退室を制限すればよいので、日常的にパーティションで区切る必要はないと考えられます。

06.技術的安全管理措置

コンピュータを用いて特定個人情報を管理・保持しようとする場合に用いる技術を定めるものです。

ガイドラインには、技術的安全管理措置として

個人番号部分を記録・保存するPCは他のPCと分ける。
PCとフォルダーにアクセス制限をかける(IDとパスワード)。
ウィルス対策ソフト等の導入と最新の状態にアップデート。
操作ログを取得する。
操作ログの検索機能を実装。

などがあります。

コンピュータを用いない場合

物理的安全管理措置によって情報が盗難・漏えいしないように保護することになります。

コンピュータを利用する場合

  • 自社のIT化の状況によって実施できることとできないことがあります。

例えば、特定個人情報をExcelなどを利用して管理する場合と、専用または業務と一体化したITシステムを利用して管理するのでは、データの保護方法やアクセス制御方法は異なるはずです。

  • IT環境による違いもあります

例えば、スティック型PCとサーバーのフォルダに格納されている、またはクラウドなど利用するIT環境によっても採用する技術は異なります。特に、クラウドの場合はほとんどのセキュリティ・技術要素はサービスを提供している業者に依存するでしょう。クラウドの場合は、自社内のセキュリティをどうするかにフォーカスすることが必要です。

運用も考慮

「操作ログを取得」「操作ログの検索機能」の関係では、直接は技術的安全管理措置ではないですが、組織的安全管理措置との関係で、これを用いてどのように特定個人情報の機密性を確保するかという運用面を考えておきましょう。
せっかくIT機能を実装しても、運用しなければ意味がないですから。

07.特定個人情報保護規程を定める

番号法に沿った規程類は例えば次のような構成になります。
この例は私ならこんな構成にするだろうという例示ですので、これでなければだめだということではありません。
前述の4つの安全管理措置の中で定めた方法を該当する規程に盛り込みます。

基本方針 … 安全管理措置の概要、法令順守の宣言、相談窓口等の記載

規程

規程例 01:組織体制と取扱    … 組織体制、特定個人情報の保護の方法、事務取扱責任者・担当者の責任、事故発生時の連絡体制
規程例 02:取得と収集      … 取得対象者、収集方法、特定個人情報の確認方法
規程例 03:利用         … 利用目的、運用記録の収集、事務取扱担当者の役割と制限、
規程例 04:保管         … 保管方法(紙媒体)、保管方法(電子データ)
規程例 05:提供         … 行政機関等への提出時の手続き、
規程例 06:提供(業務委託)   … 社労士・税理士等への委託時の手続き、再委託、業務終了時の手続き、監査、業務委託契約方法
規程例 07:開示・訂正・停止   … 開示・訂正・停止の手続き、手数料等
規程例 08:削除・廃棄      … 期限、方法(紙・電子データ)、業者委託の場合、

委託契約書 …   業務委託契約方法に基づいて、契約書を作成し契約を行うことが必要です。

規程の中には、実作業の具体的な進め方を記述することになります。その際には、ツールとして利用する「各種書式(ガイドラインに沿って会社が定める)」が必要になります。

【お知らせ】ファウンド・アクトでは、御社の状況に合わせたマイナンバー制度の策定支援を行っており、テンプレートを用いて迅速に規程類を策定することができます

08.マイナンバー制度での運用書式例

例えば、マイナンバー制度を運用する際には、運用ステージによって次のような書式が必要となります。
この例は私ならこんな構成にするだろうという例示ですので、これでなければだめだということではありません。

周知と誓約書に関する書式

社員への周知         … 制度の概要、大切に管理してください、変更があたら届けてください、説明会を実施します
特定個人情報の取り扱い誓約書 …
退職にあたっての誓約書    …

新入社員・契約社員の採用時、等で特定個人情報を取集する際の書式

個人情報提出時のやり方
利用目的通知と個人番号記入票 … 表は「利用目的通知」、裏は「個人番号記入票」と「確認書類のコピー貼付枠」
扶養親族の個人番号記入票
委任状            … 新入社員(新卒・中途採用)で配偶者がいる方は、国民年金第3号被保険者の事務手続きに必要です。
収集に使用する封筒の表書き
収集に使用する封筒の裏書き

税理士事務所・社会保険労務士事務所に業務委託をする際の書式

依頼業務に関連する特定個人情報の受領書   … 委託先に対して特定個人情報を渡した時の受書
依頼業務に関連する特定個人情報の削除報告書 … 委託作業が終了した際に特定個人情報を完全に削除・廃棄をしてもらった報告書

【お知らせ】ファウンド・アクトでは、御社の状況に合わせたマイナンバー制度の策定支援を行っており、迅速に書式類を整備することができます

09.マイナンバー制度での管理帳票類

マイナンバー制度では、事務作業のログ(履歴)を採取することを求めています。実際の業務では次のような管理書類が想定されます。

マイナンバー管理帳票(例示)

管理帳票書式01:特定個人情報台帳(単票) … 特定個人情報が記録されている台帳
管理帳票書式02:特定個人情報台帳一覧   … 特定個人情報が記録されている台帳の一覧表
管理帳票書式03:業務記録         … 特定個人情報をどのような業務・帳簿作成に利用したかの業務日誌
管理帳票書式04:特定情報資産台帳     … 特定個人情報が記録されている帳簿・法定帳票を一つの資産として管理し、どのような資産が保有されているかの記録
管理帳票書式05:資産別利用記録      … 情報資産台帳ごとの利用状況の記録
管理帳票書式06:キャビネットカギ管理簿  … 特定個人情報格納されているキャビネットの鍵の利用記録簿

各管理帳票と記録が発生する業務

管理帳票と業務

どれくらいの業務負荷が発生するか(想定)

従業員30名で「取得」「利用」「保管」で想定してみると、結構な作業量になりそうです。家族経営で従業員が数名なら手作業での管理も可能だと思いますが、手作業でこれを行うのはちょっと辛いですね。


 

 

 

 

 

【お知らせ】ファウンド・アクトのマイナンバー制度の策定支援を受けられた企業様に「マイナンバー管理システム(マイム)」をご提供しています。マイムでは、一度の業務記録の登録で上記の管理帳票データが一括で作成されます。