安全管理措置の検討手順

最終更新日時:2016年(平成28年)11月8日

 マイナンバーは個人のプライバシーに深く関わる重要な個人情報であるため、その取り扱いには慎重さが求められます。特に企業においては従業員のマイナンバーを取り扱い、保管することになりますのでしっかりとした管理体制を築くことが出来るかどうかが重要なポイントになってきます。そこで本ページでは特定個人情報ガイドラインにのっとってその安全管理措置の検討手順について解説していきたいと思います。

検討手順の流れ

 ガイドラインではマイナンバーを取り扱う事業者は、マイナンバーの適正な取扱いについて以下の手順で検討を行う必要があるとしています。

A…マイナンバーを取り扱う事務の範囲の明確化
B…特定個人情報の範囲の明確化
C…事務取扱担当者の明確化
D…基本方針の策定
E…取扱規定等の策定・見直し

それぞれの手順についてまずは前段階となるA~Cについて詳解していきます。

マイナンバー関連業務の洗い出し

A.マイナンバーを取り扱う事務の範囲の明確化

 これは企業で行っている様々な業務のうち、具体的にどの業務にマイナンバーが関わってくるかの洗い出しに該当します。例えば源泉徴収票の作成事務、例えば給与支払報告書作成事務、例えば厚生年金の届出事務、例えば雇用保険の届出事務・・・。

B.特定個人情報の範囲の明確化

 Aで明確化した事務において実際に取り扱う情報の明確化になります。マイナンバーを扱うのはもちろんとして、それ以外で関連付けられる氏名・住所・生年月日などの個人情報の範囲を明確にします。

C.事務取扱担当者の明確化

 Aで明確化した事務を誰が処理して、マイナンバー関連の情報を保管するのかがはっきりしなければ安全管理を保つことは出来ません。そこで取り扱いを担当する責任者を従業者から選定する必要があります。ここで決められた担当者以外は一切その事務に携わることが出来ないという点では注意が必要です。この事務取扱担当者の明確化では、マイナンバーの「取得」の段階、「利用・保存」の段階、「提供」の段階、「削除・廃棄」の段階と言う各取り扱い段階で担当者を明確にしていきます。各段階で兼任者が出ても特に問題は無く、部署名などでマイナンバーを取り扱う事務に従事するものがはっきりとすればそれで十分とされています。

 ここで言う「従業者」とは事業者の組織内にあり、直接あるいは間接に事業者の指揮監督を受けて業務に携わっているもの全てを指し、従業員のみでなく、取締役、監査、理事、監事、派遣社員、パート、アルバイトも含まれる表現になっています。

 また、各業務とそれに対する安全管理措置の程度には差があっても特に問題はありません。定期的に発生する事務や、事業者の中核を担う業務を担当する者に対して講じる安全管理措置と、単に書類の受け渡しをするだけといったような補助的な事務を担当する者に対して講じる安全管理措置には程度の差があっても妥当なものと解釈されます。

基本方針の策定

 A~Cの検討を行ったうえでDの基本方針の策定に移ります。基本方針とは、企業がマイナンバーを含む特定個人情報の保護を推進する上での考え方や方針を明らかにするものです。

 基本方針の策定および公表は推奨されているだけで法令上の義務はありません。しかし、組織としてマイナンバーの適正な取扱いに取り組む上では基本方針の策定は重要な手順になります。

 基本方針に定める項目の例としてガイドラインでは以下のものを挙げています。

 個人情報保護法制下において既に個人情報の取扱いにかかる基本方針(プライバシーポリシー)を策定している場合は、既存の基本方針の特則として追加しても良いですし、改正して特定個人情報の取扱いにかかる方針を盛り込んでも問題はありません。もちろん別に策定しても良いことになっています。また、基本方針の公表方法としてはホームページへの掲載が考えられますが、策定と同じく公表も義務ではありません。

取扱規定等の策定・見直し

 最後に取扱規定等の策定・見直しです。取扱規定とはA~Cまでで明確化された業務の流れを整理し、各事務処理の段階ごとに、マイナンバーの取り扱い方法や責任者などを具体的に定めていくことを言います。この取扱規定は全ての従業員が容易に閲覧出来る状態にしておく必要があります。なお、「取扱規定等」となってはいますが、必ずしも「規定」という形で定めなければならないわけではなく、事務フローや業務マニュアル、業務手順書といった形でも特に問題はありません。このあたりは事業者ごとに、それぞれの業務形態に合わせた柔軟な対応が可能になっています。

 取扱規定等の策定方法としては、取得、利用、保存、提供、削除・廃棄といった各段階ごとに取り扱い方法や責任者、実際に業務に携わる取り扱い担当者、およびその任務・役割などを定めていく方法が考えられます。そして、各段階ごとに「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の具体的な手法が織り込まれていることが必要になってきます(組織的安全管理措置等の具体的な手法は次ページに続きます)

 末尾になりますが、ガイドラインにて源泉徴収票の作成事務を例に、取扱規定で定めるべき事項が挙げられていますので紹介しておきます。

①従業員からマイナンバーの記載された書類を取得し、取りまとめる方法
②①で取りまとめた書類を源泉徴収票の作成部署へ移動する方法
③マイナンバーを含むデータを情報システムに入力するための方法
④源泉徴収票の作成方法
⑤源泉徴収票の行政機関への提出方法
⑥源泉徴収票の本人への交付方法
⑦源泉徴収票の控え、従業員から提出された書類や情報システムで取り扱うファイルの保管方法
⑧法定保存期間の過ぎた源泉徴収票の控えの廃棄・削除方法