マイナンバー制度について

平成27年10月

プチ研修

マイナンバー(個人番号)制度について

 

今月は、今話題のマイナンバー(個人番号)制度の概略のご説明と、開始に伴う企業対策についてご案内します。

 

Ⅰ.マイナンバーとは

マイナンバーとは「行政手続における特定の個人を識別するための番号の利用等に関する法律」に定められた「個人番号」のことです。この個人番号と後述する法人番号を利用して社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤(インフラ)のことをマイナンバー制度といいます。

 

住民票のある全ての方(外国人も含む)を対象に、平成27年10月より順次、個人番号が記載された「通知カード」が簡易書留で、住民票の世帯主宛に人数分まとめて届きます。そして、それと一緒に「個人番号カード」の申請書も送られ、希望する人は写真を貼付して送り返すことで個人番号カードが平成28年1月以降に届く仕組みになっています(※顔写真が本人のものかを確認するため、市町村窓口に1回来庁することが必要なようです)。

※個人番号カードは、公的な身分証明書であり、市町村等の付加サービスや電子申請にも利用できる予定です(現在、発行手数料は無料ですが、費用徴収が検討されているそうです)。

 

また、個人番号とは別に、設立登記法人や国の機関、地方公共団体、その他の法人や団体に「法人番号」の通知書が、登記上の所在地に国税庁長官から届きます。この法人番号は個人番号と違って自由に利用ができ、インターネットを通じて法人等の名称、所在地が公表されます。

 

そして、平成28年1月以降は、社会保障や税の事務手続きの際に、個人番号や法人番号を記載していくこととなります。ただし、一斉にすべて必要となるわけではなく、健康保険・厚生年金保険に関しては平成29年1月から、またそれ以降に予定されているものもあります。

 

Ⅱ.マイナンバー制度に対応するためには

上記のとおり、今後は国民に個人番号が割り振られるので、従業員やその被扶養者の個人番号を会社は適切に取得、管理していく必要が生じます。ここで問題になるのは、この個人番号や個人番号を含む個人情報(特定個人情報)の取扱いがかなり厳しく法律で規制されていることです。以下が概略です。

(取得・利用・提供のルール)

・社会保障及び税に関する手続書類の作成事務を処理するために必要がある場合に限って、従業員等に個人番号の提供を求めることができる。

(保管・廃棄のルール)

・社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限って保管し続けることができ、必要がなくなった場合には、行政法令で定められている保存期間を経過した後はできるだけ速やかに個人番号を廃棄又は削除しなければならない。

(委託のルール)

・委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。そして、委託先が再委託する場合は、最初の委託者の許諾を得る必要がある。

(安全管理措置のルール)

・個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければならない。また、従業者に対する必要かつ適切な監督も行わなければならない。← この安全管理措置のルールが中小企業にとってハードルが高いと感じます。

 

Ⅲ.安全管理措置のルールの中身について

法律で定める安全管理措置とは以下のとおりです。

A 基本方針の策定

・特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定する。

B 取扱規程等の策定

・事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定する。

C 組織的安全管理措置

a)組織体制の整備

・安全管理措置を講ずるために組織体制を整備する。

b)取扱規程等に基づく運用

・取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。

c)取扱状況を確認する手段の整備

・特定個人情報ファイルの取扱状況を確認するための手段を整備する。なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。

d)情報漏えい等事案に対応する体制の整備

・情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。

e)取扱状況の把握及び安全管理措置の見直し

・特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。

D 人的安全管理措置

a)事務取扱担当者の監督

・事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

b)事務取扱担当者の教育

・事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。

E 物理的安全管理措置

a)特定個人情報等を取り扱う区域の管理

・特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。

b)機器及び電子媒体等の盗難等の防止

・管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。

c)電子媒体等を持ち出す場合の漏えい等の防止

・特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動であっても、紛失・盗難等に留意する必要がある。

d)個人番号の削除、機器及び電子媒体等の廃棄

・個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。

 

 

F 技術的安全管理措置

a)アクセス制御

・情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。

b)アクセス者の識別と認証

・特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

c)外部からの不正アクセス等の防止

・情報システムを外部からの不正アクセス又は不正ソフトウエアから保護する仕組みを導入し、適切に運用する。

d)情報漏えい等の防止

・特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。

 

以上となります。なお、従業員の数100名以下の中小規模事業者については努力義務(義務ではなく、そのように対応することが望ましい)等の緩和措置や対応の仕方が例示されているものもありますが、ほぼ同様のルールが課せられています。

(注意)従業員の数が100名以下であっても以下の事業者は中小規模事業者として取り扱いません。

・個人番号利用事務実施者

・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者

・金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者

・個人情報取扱事業者

 

Ⅲ.企業のマイナンバー対策に関して

ご案内のとおり、企業のマイナンバー対策として、業務フローの確認、教育、規程等の作成・改定が必要になります。よって、万全な対応を行うためには、この分野に知識のある社労士の活用が重要だと考えます。勿論、社労士だけですべて対応できるものではありませんが、実務上、社会保険関係の一部手続きから開始され、基本方針および規程等についても社労士が関われる分野であるためです。

繰り返しになりますが、来年1月からは雇用保険・労災保険の手続きに関してマイナンバーの記入が必要とされます。早く方針や規程を作成、就業規則等を改定して準備をし、安全管理措置を講じていかなければ、問題が生じたときに企業責任が問われる事態となりかねません。

 

そして、このことは企業から受託されている我々社労士事務所も同様であり、法律に則した対応をしていかなければ、万が一の時に大変な事態に陥ってしまうと危機感を感じています。

 

以上