マイナンバー法で定める個人番号、特定個人情報の取り扱い
マイナンバー制度は「社会保障・税・災害対策の分野での行政運営の効率化」「国民の利便性向上」「公平・公正な社会の実現」のための社会基盤として導入されました。
個人情報の適正な取扱いに関しては「個人情報保護法」で各種措置を定めていますが、その特例である「マイナンバー法」においては、個人番号を取扱う事業者が特定個人情報の適正な取扱いをするために、特定個人情報の利用範囲を限定する等、より厳格な保護措置を定めています。
「個人番号」の利用制限と取得の際の注意点
個人番号の取り扱いは「社会保障」「税金」「災害対策」の3つの用途に限定されています。事業者は、従業員、または個人の取引先の個人番号を扱うこととなるため、適切な管理が求められます。
個人番号の利用制限
- 個人番号の利用範囲
- マイナンバー法では、個人番号を利用することができる範囲を、社会保障、税及び災害対策に関する特定の事務に限定しています。
個人情報取扱事業者は、その範囲の中から具体的な利用目的を特定した上で、利用するのが原則です。また、「個人情報保護法」とは異なり、本人の同意があったとしても、例外として認められる場合を除き、利用目的を超えて特定個人情報を利用してはならないと定められています。 【個人番号を利用することができる事務の範囲】
源泉徴収票及び社会保障の手続書類に従業員等の個人番号を記載して行政機関等及び健康保険組合等に提出する場合 - 特定個人情報ファイルの
作成の制限 - 事業者が、特定個人情報ファイルを作成することができるのは、個人番号関係事務又は個人番号利用事務を処理するためにの必要な範囲(法令に基づき行う従業員等の源泉徴収票作成事務、健康保険・厚生年金保険被保険者資格取得届作成事務等)に限られ、必要な範囲を超えた特定個人情報ファイルの作成はできません。
個人番号の取得の際の注意点
- 本人確認を厳格に行う
- 個人番号は本人を正確に特定するためのものですので、取得する際には厳格な本人確認が必要になります。
具体的にはマイナンバーを取得する際に身分証明書等を確認します。誰から取得するのかによって確認する身分証明書は変わってきます。本人の場合- 個人番号カード
- 通知カード + 運転免許証等の本人の身元確認書類
- 住民票の写し等の番号確認書類 + 運転免許証等の本人の身元確認書類 等
原則として従業員本人が扶養家族の個人番号カード等を確認し、企業に伝える
- 収集・保管の制限
- 個人番号の収集・特定個人情報の保管は、マイナンバー法で定められた利用範囲内での事務処理を行う場合のみに制限されています。また、事務処理が必要なくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければなりません。
特定個人情報に関する安全管理措置
マイナンバーの対応の中でも最も重要といえるのが、特定個人情報の漏えいを防止するための「安全管理措置」です。
マイナンバー運用にあたっては「基本方針の策定」と「取扱規程等の策定」という2種類のルールづくりを、
特定個人情報保護委員会が示す「特定個人情報の適正な取扱いに関するガイドライン」により推奨されています。
基本方針で定める内容は、個人情報を取り扱う基本理念、法令遵守、安全管理についての方針です。基本方針を定めることで、従業員等へのマイナンバー制度の周知も容易になりますし、実務担当者への研修・教育にも役立ちます。特定個人情報保護委員会が示す「特定個人情報の適正な取扱いに関するガイドライン」に、基本方針の事例が掲載されています。
これを参考に策定しておくことが企業側のリスク管理につながるでしょう。
基本方針の策定
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。
【 手法の例示 】
基本方針に定める項目としては、次に掲げるものが挙げられます。
- 事業者の名称
- 関係法令・ガイドライン等の遵守
- 安全管理措置に関する事項
- 質問及び苦情処理の窓口 等
ガイドラインの内容に縛られることなく、自社独自の方針を策定することも可能ですが、実効性のある内容であることが重要です。
また、基本方針については、監督官庁等への届出は不要ですが、従業員への周知が重要になります。
基本方針は一度策定すれば終わりではありません。組織体制の見直し等に伴い随時見直しすることが必要になります。
管理責任者を決めておき、策定や運用における責任の所在を明確にしておきましょう。
取扱規程等の策定
取扱規程を策定する目的は、「ルールや責任の所在を明確にしていくこと」で、実際に実務担当者等が理解するためのものです。安全管理措置体制等は随時運用によって改定するなど、取扱規程や運用ルールにも反映する必要があります。
個人番号を記載する書類を作成する際に、どのように個人番号を取り扱うのか、具体的な手順や方法をわかりやすく示しておくことで、正確で効率的な事務につながります。
個人番号の運用では、情報漏えいによる事故を防ぐために、以下に示した5つの管理段階で、取扱方法、責任者・事務取扱担当者とその任務等を定めることが求められています。
【 取扱規程に具体的に定める事項 】
- ① 取得する段階
- ② 利用を行う段階
- ③ 保管する段階
- ④ 提供を行う段階
- ⑤ 削除・廃棄を行う段階
特定個人情報の安全管理措置等
特定個人情報等の保護のために必要な安全管理措置には、「1.組織的安全管理措置」「2.人的安全管理措置」「3.物理的安全管理措置」「4.技術的安全管理措置」の4つがあります。
| 1. 組織的安全管理措置 | |
|---|---|
| 組織体制の整備 | 安全管理措置を講ずるための組織体制を整備する。 責任者や事務取扱担当者及びその役割の明確化、担当者が取扱い規程等に違反もしくは兆候を把握した場合や、漏えい等事案の発生又は兆候を把握した場合の報告連絡体制 等 |
| 取扱規程等に基づく運用 | 取扱規程等に基づく運用を行うとともに、その状況を確認するため、特定個人情報等の利用状況等を記録する。 特定個人情報ファイルの利用・出力状況の記録や削除・廃棄記録、特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録 等 |
| 取扱状況を確認する手段の整備 | 特定個人情報ファイルの取扱状況を確認するための手段を整備する。なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。 特定個人情報ファイルの種類・名称、責任者、取扱部署、利用目的、削除・廃棄状況、アクセス権を有する者 等 |
| 漏えい等事案に対応する体制の整備 | 漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。 漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。 情報漏えい等の事実関係の調査及び原因の究明、影響を受ける可能性のある本人への連絡、委員会又は事業所管大臣等への報告、再発防止策の検討及び決定、事実関係及び再発防止策等の公表 等 |
| 取扱状況の把握及び安全管理措置の見直し | 特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。 特定個人情報等の取扱状況について定期的に自ら行う点検又は他部署等による監査の実施 等 |
| 2. 人的安全管理措置 | |
| 事務取扱担当者の監督 | 特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、必要かつ適切な監督を行う。 |
| 事務取扱担当者の教育 | 特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。 |
| 3. 物理的安全管理措置 | |
| 特定個人情報等を取り扱う区域の管理 | 管理区域(特定個人情報ファイルを取り扱う情報システム(サーバ等)を管理する区域)を明確を明確にする。また、取扱区域(特定個人情報等を取り扱う事務を実施する区域)において、事務取扱担当者等以外の者が特定個人情報等を容易に閲覧等できないよう留意する。 管理区域へのICカード・ナンバーキー等による入退室管理や持ち込む機器等の制限、取扱区域に間仕切り等の設置や座席配置の工夫、のぞき込み防止措置 等 |
| 機器及び電子媒体等の盗難等の防止 | 管理区域・取扱区域にて特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止策を講ずる。 特定個人情報等を取り扱う機器、電子媒体又は書類等を施錠できるキャビネット・書庫等へ保管する、セキュリティワイヤー等で機器を固定する 等 |
| 電子媒体等の取扱いにおける漏えい等の防止 | 特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ際の安全な方策を講ずる。 持ち運ぶデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用、追跡可能な移送手段の利用 等 |
| 個人番号の削除、機器及び電子媒体等の廃棄 | 個人番号関係事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元不可能な手段で削除又は廃棄し、記録を保存する。委託している場合は、委託先が確実に削除又は廃棄したことを証明書等により確認する。 焼却又は溶解、復元不可能な程度に細断可能なシュレッダーの利用、保存期間経過後に個人番号の削除を前提とした情報システムの構築 等 |
| 4. 技術的安全管理措置 | |
| アクセス制御 | 情報システム使用の場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。 特定個人情報ファイルを取り扱う情報システム端末等の限定、限定したユーザーIDにのみアクセス権を付与 等 |
| アクセス者の識別と認証 | 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。 ユーザーID、パスワード、磁気・ICカードでの識別 等 |
| 外部からの不正アクセス等の防止 | 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。 情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置、セキュリティ対策ソフトウェアの導入、機器やソフトウェア等に標準装備されている自動更新機能等の活用 等 |
| 漏えい等の防止 | 特定個人情報等をインターネット等により外部に送信する場合、通信経路における漏えい等を防止するための措置を講ずる。 通信経路の暗号化、データの暗号化又はパスワードによる保護 等 |
特定個人情報の漏えい等に関する報告等
個人情報保護委員会への報告
特定個人情報ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの個人情報保護委員会規則で定めるもの(以下、報告対象事態)が生じたときは、速やか(概ね3〜5日以内)に、所定の事項を個人情報保護委員会に報告します。
報告対象事態を知ったときは、速報に加え、30日以内(当該事態が不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態等である場合にあっては、60日以内)に、所定の事項を個人情報保護委員会に報告します。
本人への通知
報告対象事態を知ったときは、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、所定の事項を本人に通知します。
外部へ委託する場合
委託の取扱いについて
特定個人情報の適正な取扱いに関するガイドラインでは、以下の通り、委託の取扱いが定められています。
個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、マイナンバー法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督(①委託先の適切な選定、②安全管理措置に関する委託契約の締結、③委託先における特定個人情報の取扱状況の把握)を行わなければならない。
| ① 委託先の適切な選定 | 委託者は、委託先において、マイナンバー法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。 委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等の確認 |
| ② 安全管理措置に関する委託契約の締結 | 契約内容に、秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。そのほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましい。 |
| ③ 委託先における特定個人情報の取扱状況の把握 | 上記の契約に基づき報告を求めること等により、委託契約で盛り込んだ内容の実施の程度を把握した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。 |
再委託について
個人番号関係事務又は個人番号利用事務の全部又は一部の「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託をすることができる。と定められています。 なお、委託者は、必要かつ適切な監督を行っているかどうかを監督することを「委託先」と「再委託先」両方の監督義務を負うことになります。
関連する最新テンプレートは、こちらからダウンロードできます。