マイナンバー
そろそろ無視できないマイナンバー⑪安全管理措置
- 2015年08月12日
- マイナンバー
そろそろ無視できないマイナンバー⑪
前回に引き続き、マイナンバーについての11回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー⑩
記載内容は8月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会などのHPをご覧ください。
ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として
- (A)組織体制の整備
- (B)取扱規定に基づく運用
- (C)取扱状況を確認する手段の整備
- (D)情報漏えい等事案の対応する体制の整備
- (E)取扱状況の把握及び安全管理措置の見直し
上記の5つがありました。前回はDについての話でした。
今回はEの「取扱状況の把握及び安全管理措置の見直し」についてです。AからDまででマイナンバーを取り扱うための体制を整備してきましたが、Eはそれを監査する体制を整備することを求めています。
ガイドラインは次のようにしています。
- ・特定個人情報等の取扱状況について、定期的に自ら行う点検、他部署等による監査を実施する。
- ・外部主体による他の監査活動に合わせて、監査を実施する。
監査ですので当然、独立性がなければなりません。
身分的にも精神的にも偏りがあってはいけません。
また、個人情報担当役員や、個人情報保護委員会を設置しているならばそれらも監査対象なので
- 監査部門は取締役会、代表者の直下に配置することが好ましいです。
また、
- 監査の有効性は記録に左右される
ため、Cの「取扱状況を確認する手段の整備」は特に重要です。
システムの利用申請書、入退室記録などが残るよう業務フローやシステムの変更も必要です。
Eの中小規模事業者の特例は
- 責任のある立場の者が、特定個人情報等の取扱状況について定期的に点検を行う
となっています。
人員的に監査部門の設置自体が難しいので当然といえます。
ただ、心理的な偏向がないよう十分に注意しなければなりません。
そろそろ無視できないマイナンバー⑩安全管理措置
- 2015年08月11日
- マイナンバー
そろそろ無視できないマイナンバー⑩
前回に引き続き、マイナンバーについての10回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー⑨
記載内容は8月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会などのHPをご覧ください。
ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として
(A)組織体制の整備
(B)取扱規定に基づく運用
(C)取扱状況を確認する手段の整備
(D)情報漏えい等事案の対応する体制の整備
(E)取扱状況の確認及び安全管理措置の見直し
上記の5つがありました。前回はCについての話でした。
Dの「情報漏えい等の事案に対応する体制の整備」ですがガイドラインでは、二次災害の防止、類似事案の発生防止の観点から事案に応じて、事実関係、再発防止策などを早急に公開することが重要としています。
求められている体制とは下記を滞りなく行える体制です。もちろんスピードが大切です。
- 事実関係の調査及び原因の究明
- 影響を受ける可能性のある本人への連絡
- 特定個人情報保護委員会及び主務大臣等への報告
- 再発防止策の検討及び決定
- 事実関係及び再発防止策等の公開
7回目でAの「組織体制の整備」においては内向きの体制整備を求められていましたがここでは対外的な整備が求められます。
7回目では個人情報保護担当役員の選任、担当役員を中心とする委員会の設置に触れましたが、
- 委員会、または下部組織で実働部隊である事務局等が中心となり漏洩時対応マニュアルを作成し、従業員に周知すること
が必要です。定期的な訓練も必要でしょう。
原因究明と再発防止は非常に重要です。
個人情報保護担当役員、委員会等を設置しているならばそれらが中心となって処理をします。
再発は大きく経営責任を問われかねませんので現場に任せるのではなく、経営者も一体となって進めていくべきでしょう。
これらの対策にも中小規模事業者の特例があります。
- 情報漏えい等の事案の発生に備え、従業者から責任のある立場の者に対する報告連絡体制等をあらかじめ確認しておく。
大きな対策は必要ありません。
そろそろ無視できないマイナンバー⑨安全管理措置
- 2015年07月14日
- マイナンバー
前回に引き続き、マイナンバーについての9回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー⑦
記載内容は7月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会などのHPをご覧ください。
ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として
- (A)組織体制の整備
- (B)取扱規定に基づく運用
- (C)取扱状況を確認する手段の整備
- (D)情報漏えい等事案の対応する体制の整備
- (E)取扱状況の確認及び安全管理措置の見直し
上記の5つがありました。前回はBについての話でした。
Cの「取扱状況を確認する手段の整備」ですが、ガイドラインでは取扱状況を確認するための記録として下記のようなものを挙げています。
- ・特定個人情報ファイルの種類、名称
- ・責任者、取扱部署
- ・利用目的
- ・削除・廃棄状況
- ・アクセス権を有する者
Bは運用状況を確認するための記録でしたが、Cはマイナンバーの取扱状況を確認するための記録です。
これに対応するには
- ・管理台帳を作成することが非常に良いと思います。
台帳作成に必要なルールを社内で統一し、そのルールに則って、どの部署でどの業務がマイナンバーを取り扱うのかを洗い出し、整理していきます。
マイナンバーが本人から事務担当者、事務担当者から役所までどのような経路で移動するのかなど、
- ・マイナンバーの移動を追って洗い出していきます。
整理についてはガイドラインに挙げられている項目を記録できるようにします。
- ・取得、廃棄した場合は速やかに台帳を更新する
- ・マイナンバーの取得や部署間の移動が発生した場合は受領書などの記録を残す
ことが非常に重要です。
- ・Cに関しても中小規模事業者における特例があります。
これはBの場合と同じで
- ・マイナンバーを含む個人情報の取り扱い状況のわかる記録を保存するとなっています。
具体例として
- 1.業務日報などに、マイナンバーなどの入手、廃棄、源泉徴収票の作成日、本人への公布日、税務署への提出日等の取り扱い状況を記録する
- 2.取扱規定、事務リストなどに基づくチェックリストを利用して事務を行い、その記入済みチェックリストを保存するとなっています。
Bと全く同じですので全く身構える必要はないと思われます。
今回はここまで
マイナンバーの相談はお近くの社労士まで
そろそろ無視できないマイナンバー⑧安全管理措置
- 2015年07月07日
- マイナンバー
出典) 内閣官房マイナンバーHP 広報用ポスター
そろそろ無視できないマイナンバー⑧
前回に引き続き、マイナンバーについての8回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー⑦
記載内容は6月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。
ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として
- (A)組織体制の整備
- (B)取扱規定に基づく運用
- (C)取扱状況を確認する手段の整備
- (D)情報漏えい等事案の対応する体制の整備
- (E)取扱状況の確認及び安全管理措置の見直し
上記の5つがありました。前回はAについての話でした。
Bの「取扱規定等の基づく運用」については運用状況を確認するために次のようなことを記録することを求めています。
- ・マイナンバーを含む個人情報ファイルの利用・出力状況の記録
- ・書類・媒体等の持ち出し記録
- ・マイナンバーを含む個人情報の削除・廃棄記録
- ・削除・廃棄を委託した場合、これを証明する記録等
- ・マイナンバーを含む個人情報を情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
紙媒体については管理簿の運用などで問題ありません。
- ・基本方針、取扱規定に基づくマニュアルなどに管理簿等の運用方法を定めることが必要です。
情報システムを運用している場合は技術的安全管理措置にも関わってきますが、適切なシステムの選定を行いましょう。
マイナンバーの削除・廃棄については自社で処分する場合と、委託処分が考えられます。
契約にもよりますが、廃棄物の中身について関知しないのであればマイナンバー業務の委託にはあたらないと考えられます。
しかしながら
- ・完全に廃棄されるまでは委託者として廃棄されるマイナンバーへの安全管理措置を講ずる義務はあります。
過去にも廃棄業者の不注意、故意による情報漏えいが発生していることも事実です。
適切な委託先の選定が第一ですし、非開示契約なども必要でしょう。
手間を考えると
- ・可能な限り、自社で処分することが望ましいと思います。
ガイドラインによると、
- ・記録の保存は、情報の種類、量、システムを取り扱う職員の数、点検・監査の頻度等を総合的に判断して事業者が定める
となっています。
法定保存期限が定められている書類はもちろんその通り保存しなければなりませんが、
任意の記録に関しては安全管理措置に影響が出ない程度に定めます。
- ・このBについても中小規模事業者の特例があります。
ガイドラインによると
- マイナンバーを含む個人情報の取り扱い状況のわかる記録を保存する
となっています。具体例として
- 1.業務日報などに、マイナンバーなどの入手、廃棄、源泉徴収票の作成日、本人への公布日、税務署への提出日等の取り扱い状況を記録する
- 2.取扱規定、事務リストなどに基づくチェックリストを利用して事務を行い、その記入済みチェックリストを保存する
などが挙げられています。
こちらも日常業務を少し整備することで対応することができそうです。
今回はここまで
マイナンバーの相談はお近くの社労士まで
そろそろ無視できないマイナンバー⑦安全管理措置
- 2015年06月24日
- マイナンバー
出典 内閣官房HP マイナンバー広報用ポスター
前回に引き続き、マイナンバーについての7回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー⑥
記載内容は6月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。
前回は取扱規定の策定について書かせていただきました。
法律で義務付けられている4つの安全管理措置について具体的内容に入っていきます。
今回からは組織的安全管理措置です。
ガイドラインによると組織的安全管理措置として事業者に義務付けられる措置として
- (A)組織体制の整備
- (B)取扱規定に基づく運用
- (C)取扱状況を確認する手段の整備
- (D)情報漏えい等事案の対応する体制の整備
- (E)取扱状況の確認及び安全管理措置の見直し
上記5つを義務付けています。
ガイドラインによるとAの組織訂正の整備については次のようなことを求めています。
- 1.事務における責任者設置及び責任の明確化
- 2.事務取扱担当者の明確化及びその役割の明確化
- 3.事務取扱担当者が取り扱うマイナンバーを含む個人情報の明確化
- 4.事務取扱担当者が取扱規定等に違反している事実、兆候を把握した場合の責任者への報告連絡体制
- 5.情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制
- 6.特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担、責任の明確化
1、2、6についてですが、
- 作業責任者、運用責任者のような役職を設置し、マイナンバーを含む個人情報を取り扱う担当者も特定することが必要です。
また、マイナンバーを含む個人情報の取り扱いについて、部署、従業者ごとに取扱いにばらつきが出ないよう、
- 基本方針、取扱規定に基づくマニュアルなどに役割、責任を明確に定めることが必要です。
ある程度の規模の事業者は組織的に保護措置を行うために個人情保護担当役員を選任し、個人情報保護を専門とする委員会を作ることも考えられます。また、部門ごとに管理責任者を置くことも有効です。
Eの取扱状況の確認及び安全管理措置の見直しにもかかわってきますが、監査部門の設置も必要です。
3についてですが、税、社会保障、災害対策の3分野の事務においてマイナンバーの記載が必要になるわけですが、もともと3分野という範囲が決まっているのでその事務に必要なマイナンバーを含む個人情報の範囲も自ずと決まってきます。
4、5についてですが、
今回の年金機構の個人情報漏洩事件にように現場で情報が止まり、初動が遅れる、対処が全くなされないことが最大のリスクです。
- 報告ルールの策定、従業者への周知、教育
- 複数の報告ルートを設定する
ことがポイントとなります。
複数の報告ルートを設定するのは所属長などの上司が違反している場合も考えられるためです。
Aの組織体制の整備を見てきましたが、
- ここでも中小規模事業者の特例があります。
ガイドラインのよると中小規模事業者における対応方法は
- 事務担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい。
となっています。「望ましい」となっているため努力義務です。
小規模の場合は人員自体が少ないため一人が複数の業務を掛け持つことは珍しいことではありませんので当然の措置とも言えます。
今回はここまで。
マイナンバーの相談は是非、お近くの社労士まで
そろそろ無視できないマイナンバー⑥安全管理措置
- 2015年06月11日
- マイナンバー
出典 内閣府HP マイナンバー広報用ポスター
前回に引き続き、マイナンバーについての6回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー⑤
記載内容は6月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。
ひとつ気になるニュースがありました。
年金機構の情報流出が原因でマイナンバー法改正案の採決を当面先送りにすることになりました。
この改正案は2018年に税、社会保障、災害対策の3分野に限られていたマイナンバーの利用範囲を広げるためのものです。
マイナンバーの導入自体が先送りされたわけではありませんのでご注意ください。
年金に関する導入は遅れる可能性がありますが、その他はスケジュール通りと担当相が名言しています。
さて、基本指針の策定まで話が進みました。
今回は次の段階である取扱規定の作成についてです。
- 取扱規定は社内全体の基本ルール
です。基本方針の内容を受け継ぎ、より詳細に定めていきます。
取扱規定は安全管理措置実施の基準となるため、内容は決して漏れが無く、充実したものにしなければなりません。
そして、PDCAサイクルに乗せて必要に応じて改定を実施していきます。
策定の手順ですが、ガイドラインによると
- 1.マイナンバーを取り扱う事務の範囲の明確化
- 2.事務で使用するマイナンバーを含む個人情報の範囲の明確化
- 3.マイナンバーを取り扱う人物の明確化
した上で、
- 1.取得
- 2.利用
- 3.保存
- 4.提供
- 5.削除ないし廃棄
の各段階に区分し、
- 1.取扱方法
- 2.責任者
- 3.事務取扱担当者およびその任務
を定めて
- 1.組織的安全管理措置
- 2.人的安全管理措置
- 3.物理的安全管理措置
- 4.技術的安全管理措置
を織り込み、具体的に定めることが重要とされています。
非常に重要なのは
- 実態とかけ離れたルールを策定しない
ことです。現場への聞き取りなどコミュニケーションを取りながら策定していきます。
規定の項目の例としては以下のようなものが考えられます。
- 1.総則、用語の定義
- 2.管理、責任体制
- 3.マイナンバーを含む個人情報の取扱い
- 4.安全管理措置
- 5.委託先管理
- 6.監督
- 7.苦情、要求等への対応
基本方針と同様に既に個人情報取扱規定などがある場合は
- 個人情報取扱規定にマイナンバー部分を追記、改定する形でかまわない
ため、既存の規定を精査、改定を実施していきましょう。
規定についての原則的な対応を書いてきましたが、
なんと
- 規定の策定は中小規模事業者の特例が使える
- 規定の策定は中小規模事業者の特例が使える
大切なことなので2回書きました。
基本方針は特例を使えませんが規定は負担軽減が図られています。
中小規模事業者の定義については4回のブログをお読みください。
どの程度の負担軽減かというと
- 1.マイナンバーを含む個人情報の取扱いなどを明確にする
- 2.事務取扱担当者が変更になった場合は、確実な引継ぎを行い、責任のある立場の者が確認をする。
ガイドラインで示されているのは上記2点だけです。
かなり大きく負担が軽減されています。
中小規模事業者の場合、マニュアル、引継書の策定、改定レベルで済みます。
引継ぎに関しては重要なことで、担当者によってマニュアルの理解や解釈、取扱レベルに差があり、そこから事故が発生することはよくあることです。
今回はここまで。
マイナンバーの相談は是非、お近くの社労士まで
そろそろ無視できないマイナンバー⑤安全管理措置
- 2015年06月01日
- マイナンバー
前回に引き続き、マイナンバーについての5回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー④
記載内容は5月末時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください
前回は安全管理措置の大まかな流れを書かせていただきました。
今回は基本方針の作成についてです。
安全管理措置を検討していく上で初めに行わなければならないことは、
- 基本方針の策定
です。要するにプライバシーポリシーや、個人情報保護方針などを指します。
- 既にプライバシーポリシーや、個人情報保護方針を定めている場合はマイナンバー部分を追記、改定で良い
ので、非常にスムーズです。
個人情報やマイナンバーに限らず、企業情報の保護は事業者だけの努力ではどうしようもなく、
全ての従業者に方針を浸透させる必要があります。
現場の判断や、場当たり的な対応ではいつかは事故が発生します。
それらの防止のために規定を作り、ルールの明文化をしていくわけです。
- 基本方針は会社の経営方針の一部であり、諸規定の原点
となる非常に重要なものです。しっかりした基本方針を立てていきましょう。
当然ですが、
- 基本方針の内容は関係法律や各省庁、業界団体のガイドラインを満たす必要がある
ため、マイナンバー法、場合によっては個人情報保護法の知識、各種ガイドラインに精通している必要があります。
特定個人情報保護委員会が出しているマイナンバーに関する事業者向けガイドラインの「別添 特定個人情報に関する安全管理措置(事業者編)」によれば、基本方針に盛り込むべき内容として下記の項目を挙げています。
- 1.事業者の名称
- 2.関係法令・ガイドライン等の遵守
- 3.安全管理措置に関する事項
- 4.質問及び苦情処理の窓口
など
平成21年に最終改定された個人情報保護法のガイドラインにおいては下記のようなことを盛り込むことが重要としています。
- 1.事業の内容や規模を考慮した適切な個人情報の取り扱いに関すること
①取得する個人情報の利用目的個人データの取り扱いの委託を行う場合
②本人の同意なく第三者提供する場合
③共同利用する場合
④保有個人データに関すること
⑤開示等の求めに応じる手続きに関すること
⑥問合せや苦情の受付窓口に関すること
- 2.個人情報の保護に関する法律を遵守すること
- 3.個人情報の安全管理措置に関すること
- 4.個人情報マネジメントシステムの継続的改善に関すること
見ての通り、マイナンバー基本方針は個人情報保護法の基本方針に含まれている事項ばかりです。
なので、既に個人情報保護方針やプライバシーポリシーを策定されている事業主様はマイナンバーで規制が強化された事項を追記、改定するだけで良いのです。
上記の項目を見るとかなり大変そうに見えますが、あくまで基本方針です。
- 個々の具体的な取り扱い方は次以降のステップで規定やマニュアルで定めていきます
また
- 基本方針は対外的な公開は義務付けられていません
しかしながら、昔に比べ個人情報への関心が高くなっています。
社会的信用なども考慮して公開をすることを前提に作成することが良いかもしれません。
基本方針の策定は義務付けられている4つの安全管理措置のひとつである
- 組織的安全管理措置の一部とも言える
という点は非常に重要です。組織体制の整備の一環として非常に有効です。
個人情報保護法の対象となっていない場合はマイナンバー基本方針だけで良いですが、
マイナンバーの活用が進むにつれて求められるレベルが上がっていくことが考えられます。
マイナンバーを機に個人情報保護法に対応した基本方針を策定することをお勧めします。
今回はここまで。
マイナンバーの相談は是非、お近くに社労士まで
出典 内閣官房HP マイナンバー広報ポスター
そろそろ無視できないマイナンバー④安全管理措置
- 2015年05月25日
- マイナンバー
前回に引き続き、マイナンバーについての4回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー③
記載内容は5月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。
マイナンバーについて事業者に義務付けられている主な保護措置として
- ・利用制限等
- ・安全管理措置
- ・収集制限等
がありました。
その中の安全管理措置について話を進めていきます。
そもそも安全管理措置とはマイナンバーの適正な取扱いと漏えいの防止をするために事業者に義務付けられているもので、
- ・個人情報保護法の対象で個人情報に対する保護を義務付けられていた事業者は小さな変更で済む
- ・Pマーク、ISMS適合認証等のプライバシー、情報セキュリティ系のJISQやISO/IEOに対応している場合も軽微な変更で済む
はずです。そのような事情主様は慌てる必要はありません。
ほぼ対策が出来ているはずです。このブログを読む必要もないかもしれません。
マイナンバーに対する安全管理措置については1回目のブログでも書きましたが
- ・個人情報保護法の対象となっていないなど一定の用件に該当する中小規模の事業主様には安全管理措置について特例
があるなど、条件により求められる安全管理措置が変わってきます。
マイナンバー法上、安全管理措置の特例が使えるのは「中小規模事業者」とされています。
中小規模事業者の条件とは下記の全ての条件を満たす必要があります。
- ①従業員が100人を超えていないこと
- ②行政が行うマイナンバーを扱う事務を委託していないこと
- ③委託によってマイナンバーを使用する事務を行っていないこと
- ④金融分野ではないこと
- ⑤個人情報保護法の対象となっていないこと
3.があるので社労士事務所、税理士事務所は零細であったとしてもそれ相応の対策が必要になるわけです。従業員数のカウントの仕方ですが
- ・従業員数の判定時期は事業年度末で判断し、毎年度見直し
- ・ここで言う従業員とは解雇予告が必要な従業員のこと
というようになっています。
非常に大変なのが
- ・個人情報保護法の対象となっていなかったが、特例が使えないパターン
です。いきなり段階を踏まずに対策を求められることになります。
事業主様はまず、自分が特例を使えるか確認してください。
安全管理措置検討の大まかな流れですが、
- ①関係法令、ガイドラインをもとに基本方針の策定
- ②基本方針をもとに取扱規定の策定
- ③取扱規定をもとに安全管理措置の実施
という1から3の流れで行っていきます。
また、安全管理措置は4つに分けることができます。
- ①組織的安全管理措置
- ②人的安全管理措置
- ③物理的安全管理措置
- ④技術的安全管理措置
それぞれの分野で、取扱規定に乗っ取った措置を検討していくことになります。
今回はここまで。
マイナンバーの相談は是非、お近くに社労士まで
出典 内閣官房HP マイナンバー広報ポスター
そろそろ無視できないマイナンバー③ 利用制限
- 2015年05月14日
- マイナンバー
出典 内閣官房HP マイナンバー広報ポスター
前回に引き続き、マイナンバーについての3回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー②
記載内容は5月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。
前回は利用目的の限定、範囲の規定の途中で終わっていました。
今回はその続きからです。
利用目的を
- ・マイナンバーを提供する本人がどのような目的で利用されるのかを一般的かつ合理的に予想できる程度
に特定する必要があり、
- ・当初の利用目的をと相当の関連性を有すると合理的に認められる範囲で利用目的を変更し、本人に通知を行うことにより変更後の範囲内でマイナンバーを利用することができる。
という、2点について規定されていると前回書かせていただきました。
例えば、源泉徴収に関する事務を処理するのでマイナンバーを教えてくださいと通知をすれば具体的に「一般的かつ合理的に予想」できますし、利用範囲も特定されます。
また、マイナンバーの提供後、毎年の源泉徴収票の作成に使うのだろうとも予想できます。
源泉徴収票を作成する事務において給与支払報告書、退職所得の特別徴収票など書式が一緒になっているものそれぞれが密接に関係している書類ですので利用目的が同じと言えます。
源泉徴収票の作成と健保、厚年の事務はきっても切れない関係であり、「相当の関連性を有する」ことは明確です。
そのため、源泉徴収票の作成で提供を受けたマイナンバーも健保、厚年の事務に利用することも本人に通知を行えば可能です。
- ・原則、本人の同意があったとしても利用目的を超えてマイナンバーを利用してはならない
となっています。これは個人情報保護法と大きく違うところで、個人情報保護法における個人情報は本人の同意があれば提供時の利用目的を超えて利用することができますが、原則、マイナンバーの場合はできません。
しかし、上記であげた具体例のような場合は可能です。法定3分野の範囲内で、非常に関連性の高い事務であり、本人に通知をしているためです。
提供を受けたマイナンバーについてですが
- ・マイナンバーを利用する事務を行うために必要範囲内であればファイル等を作成することができる
ことになっています。これは既存のデータベースにマイナンバーを記載する形でもかまいません。ただし、
- ・マイナンバーが入ることによって安全管理を講じる必要が発生し、マイナンバーに関係のある事務にしか使用することが出来なくなる
点は注意が必要です。マイナンバーに関係のない事務に使用する場合はマスキングやアクセス制限などが必要になります。
これについては安全管理措置のときに詳しく述べます。
マイナンバーを利用するにあたり、利用目的を明確にする、利用目的の変更の場合は本人に通知が必要であることを述べました。非常に面倒です。
しかし、一発で解決する方法があります。それは
- ・就業規則への明記、社内LANでの周知、利用目的を記載した書類等のより、利用目的を包括的に通知することが可能
となっています。就業規則は社内の法律です。適法であれば非常に大きな力を持っています。
厳密にいえば
- ・個人情報保護法の対象となっていない事業者は本人に利用目的の通知等をする必要はない
のですが、そういう事業者も合わせて就業規則の改定を是非お勧めします。
マイナンバーを「必要な範囲内」で利用することは個人情報保護法の対象となっていない事情者にも義務付けられています。
就業規則等での包括的通知が「必要な範囲内」の特定にも繋がり、要らない労使トラブルを避けることができます。
安全管理措置が義務づけられていますが、その観点からも非常に有効です。
今回はマイナンバーが新たに導入されるということなので、既存の従業員様にはマイナンバーの収集への理解等が必要ですので利用目的を記載した書類等と合わせて行うのが良いと思います。
必要であれば社内研修などを行っても良いでしょう。
マイナンバー法の運用開始後、新規に入る従業員様には労働契約時に一緒に済ませてしまうことが考えられます。
以上のように述べてきましたが
- ・事業者に義務付けられている安全管理措置において提供、収集、保管についても規制がある
点は忘れてはいけません。通知が終わればマイナンバーを集めることができるのかと言えばそうではなく、安全管理措置に義務付けられている手順等を踏まなければいけません。
今回はここまで。
マイナンバーの相談は是非、お近くに社労士まで
そろそろ無視できないマイナンバー② 利用制限
出典 内閣官房HP マイナンバー広報ポスター
前回に引き続き、マイナンバーについての2回目です。
前回の記事も是非、ご覧ください。 ⇒ そろそろ無視できないマイナンバー①
記載内容は5月1日時点での情報を元に作成しています。
最新の情報は内閣官房、国税庁、特定個人情報保護委員会のHPなどをご覧ください。
前回は概要について書かせていただきました。
今回はマイナンバーを何に使うのか、何に使えるのかについて少し詳しく書いていきます。
マイナンバー制度は
- ・個人、法人にマイナンバー(個人番号)、法人番号を付番することによって、社会保障・税・災害対策の3分野で事務の効率化を図る制度
と、前回書かせていただきました。
3つの分野で利用することになっていますが、裏を返せば、
- ・法律で定めた事務の範囲内でしか利用できない
ということです。それに加えてマイナンバーは、
- ・利用目的を具体的に特定した上で利用する
ことしかできません。
ですので、社員番号の代わりにマイナンバーを使うことはもちろんできませんし、
3分野の中で利用する場合も具体的に何に使うのか特定しなければなりません。
例外もありますが災害時や、命、財産が危ないときに使用できるという緊急的なものなのでここでは述べません。
では、どのような事務で必要になってくるのかというと
- ・雇用保険、労災保険に関する一定の事務
例)雇用保険資格取得届、喪失届、育児休業受給資格確認票、支給申請書など
- ・健康保険、厚生年金に関する一定の事務
例)資格取得届、喪失届、健康保険被扶養者(異動)届、国民年金3号被保険者関係届など
例)源泉徴収票、給与支払報告書、退職所得の特別徴収票、扶養控除申請書、支払調書など
などがあります。これらの提出書類にマイナンバーを記載する欄が増えることになります。
利用目的を具体的に特定した上での使用ということですが、どの程度の特定が必要なのかというと
- ・マイナンバーを提供する本人がどのような目的で利用されるのかを一般的かつ合理的に予想できる程度
に特定する必要があると規定されており、また、
- ・当初の利用目的をと相当の関連性を有すると合理的に認められる範囲で利用目的を変更し、本人に通知を行うことにより変更後の範囲内でマイナンバーを利用することができる。
となっています。表現が抽象的で程度、範囲がイマイチ頭に入ってきません。
具体例は次回で説明していきます。
マイナンバーの相談は是非お近くの社労士まで。