連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

第5回:マイナンバー制度の企業対応 ~組織的安全管理措置で対応すべき5つの事柄~

セキュリティ マイナンバー 人事/労務 総務/法務/知財

“組織的安全管理措置”とは、何をすればいいのでしょうか?
企業規模の大小を問わず、全ての企業がマイナンバーを扱います。取締役、従業員だけでなく、株主、顧客や外注等の取引先、事務所の大家さん、社会保険労務士、税理士等、扱うマイナンバーの対象は企業によって様々です。マイナンバーが漏洩、悪用などされたら下表のような罰則規定があります。

【罰則規定】

罰則対象者行動罰則
個人番号利用事務、個人番号関係事務等に従事する者、従事したもの 正当な理由なく、業務で取り扱う特定個人情報ファイルを提供した 4年以下の懲役または200万円以下の罰金(併科あり)
業務で知り得たマイナンバーを自分や第三者の不正な利益を図る目的で提供、または盗用 3年以下の懲役 または150万円以下の罰金(併科あり)
限定なし 人を欺き、暴力、または脅迫することや財物の窃取、施設への侵入等不正アクセス行為等によりマイナンバーを取得 3年以下の懲役 または150万円以下の罰金
偽りその他不正な手段により通知カードまたは個人番号カードの交付を受ける 6カ月以下の懲役 または50万円以下の罰金
特定個人情報の取扱いに関して法令違反があった者 特定個人情報保護委員会の命令への違反 2年以下の懲役 または50万円以下の罰金
特定個人情報保護委員会から報告や資料提出の求め、質問、立入検査を受けた者 虚偽の報告、虚偽の資料提出、答弁や検査の拒否、検査妨害等 1年以下の懲役 または50万円以下の罰金

※ 一部に両罰規定、つまり事件・事故の当事者だけでなく、その人を雇用した企業も罰せられます。

罰があるから対応するということではありません。万が一、マイナンバーが漏洩したら被害を受けるのはその人です。多くの企業では、マイナンバーを扱う対象は従業員です。自分の会社の従業員を守るためにそれぞれの安全管理措置を"組織として"実施する、そのためには 組織体制を整備し、規定やルールの策定及び遵守、事件・事故発生時の対応を決定する必要があります。なお、中小企業には軽減措置が認められていますが、原則の安全管理措置は推奨となっていますので、可能な範囲で対応された方がより安全性が高まります。注1

組織的安全管理措置でやることは5つ

組織的安全管理措置の内容として、次の5項目に関して措置を講じなければなりません。それぞれについて、以降で解説します。

  • 1. 組織体制の整備
  • 2. 取扱規程に基づく運用
  • 3. 取扱状況を確認する手段の整備
  • 4. 情報漏えい等事案に対応する体制の整備
  • 5. 取扱状況の把握及び安全管理措置の見直し

1)組織体制の整備

安全管理措置を講ずるための組織体制を整備することが求められています。ガイドラインでは、以下の手法が例示されています。

  • 事務における責任者の設置及び責任の明確化
  • 事務取扱担当者の明確化及びその役割の明確化
  • 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
  • 事務取扱担当者が取扱規程等に違反している事実又はその兆候を把握した場合の責任者への報告連絡体制
  • 情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制
  • 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化

当面、マイナンバーの利用範囲は、社会保障、税、災害対策とされており、企業では人事・労務、経理などを担当する人のみが扱うこととなります。情報漏えいのリスクを考えると、マイナンバーを扱う人は少ない方がよいと考えます。比較的規模が大きい企業やISMS(ISO27001)認証企業、プライバシーマーク認定企業は、すでに職務分掌、責任と権限、緊急事態対応などの規定が策定されていることが多いため、それらに手を加える方法もあります。

中小企業の場合、マイナンバーを取り扱う業務を行う事務取扱担当者、その業務あるいは事務取扱担当者を管理・監督する責任者を区分すればよいことになっています。一般的に中小企業の場合、経理や給与計算業務を担当しているのは少数で固定されており、人事異動も少ないので難しくないと考えます。また、中小企業であっても原則の安全管理措置は推奨となっていますので、可能な範囲で対応された方がより安全性が高まります。最低でも1枚の紙に以下のようなことを明記してください。

【マイナンバーを取り扱う組織体制】

1.組織体制

特定個人情報に関する責任者及び担当者を以下の通り定め、責任者の元で管理・運用を行います。
責任者:総務部長 ○○○○
担当者:総務部員 △△△△

2.ルールの明確化

「特定個人情報取扱規程」により定めます。

3.定期監査

不定期に実施。

ここでいう「特定個人情報取扱規程」の内容は、4つの安全管理措置に関する規定とお考え下さい。また、関連して就業規則にも以下のような内容を加えるとよいでしょう。

【就業規則の記載例】

第○条(マイナンバーの通知)

従業員は。採用時に会社にマイナンバーを通知しなければならない。

2.会社は従業員に対して、身分確認のために写真付の身分証明書(例:運転免許書、パスポート)の提示を求めることがある。

3.従業員が扶養対象家族を有し、扶養対象家族のマイナンバーを会社に通知するにあたっては、虚偽のないように確実に確認をしなければならない。

第○条(マイナンバーの利用)

会社は、従業員および扶養対象家族のマイナンバーについて、以下の手続きに利用することができる。

(1) 健康保険・厚生年金保険関係届出事務

(2) 雇用保険関係届出事務

(3) 労働者災害補償保険法関係届出事務

(4) 国民年金第三号被保険者関係届出事務

(5) 給与所得・退職所得に係る源泉徴収票作成事務

2)取扱規程に基づく運用

取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録することが求められています。ガイドラインでは、以下の手法が例示されています。

  • 特定個人情報ファイルの利用・出力状況の記録
  • 書類・媒体等の持出し記録
  • 特定個人情報ファイルの削除・廃棄記録
  • 削除・廃棄を委託した場合、これを証明する記録等
  • 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

大企業やIT系の企業では、アクセスログを取得していることがありますので、それで対応可能な場合があります。
中小企業もアクセスログの取得が望ましいですが、それが困難な場合は以下のようにマイナンバーを扱った日時を作業日報や業務日誌へ記録しましょう。

  • マイナンバーの入手、廃棄、削除
  • 源泉徴収票の作成及び本人に渡した
  • 社会保険労務士や税理士などに提供した
  • 税務署などに提出した

【日誌記載例】

業務日誌

□□株式会社
2016年2月1日(月)

所 属 氏 名 罰 則 ○○ ○○
時 間業務内容備 考
9:00~10:00 電話応対、入社手続き他 社員△△マイナンバー入手
10:00~12:00 外出(社会保険労務士) 社員△△のマイナンバー提供

3)取扱状況を確認する手段の整備

特定個人情報ファイルの取扱状況を確認するための手段を整備することが求められていますが、取扱状況を確認するための記録には、特定個人情報等は記載してはいけません。ガイドラインでは、以下の手法が例示されています。

  • 特定個人情報ファイルの種類、名称
  • 責任者、取扱部署
  • 利用目的
  • 削除・廃棄状況
  • アクセス権を有する者

取扱規程に基づく運用の項で書いた記録を保存しておけば大丈夫です。

4)情報漏えい等事案に対応する体制の整備

情報漏えい等の事案の発生または兆候を把握した場合に、適切かつ迅速に対応するための体制を整備することが求められています。また、情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要です。ガイドラインでは、以下の手法が例示されています。

  • 事実関係の調査及び原因の究明
  • 影響を受ける可能性のある本人への連絡
  • 委員会及び主務大臣への報告
  • 再発防止策の検討及び決定
  • 事実関係及び再発防止策等の公表

社内の報告・連絡体制と社外に対する連絡窓口の双方を整備してください。上記5項目に対して、5W1H(いつ、何を、どこで、なぜ、だれが、どのように)を決定すればよいでしょう。事件や事故が発生した場合、社長を委員長とする"緊急対策委員会"のような組織を立ち上げ、調査、原因の追究、再発防止策の検討と決定などをするというのも一案です。

中小企業の場合、このような事案が発生した時に"まずは誰に報告するのか?"、マイナンバーに関する業務を取り扱う責任者(例えば、総務部長)なのか、あるいは社長なのかなどを決めて、関係者で周知、確認しておいてください。

5)取扱状況の把握及び安全管理措置の見直し

特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善の取り組むことが求められています。ガイドラインでは、以下の手法が例示されています。

  • 特定個人情報等の取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。
  • 外部の主体による他の監査活動と合わせて、監査を実施することも考えられる。

監査というと仰々しいですが、ルール通りに業務が遂行されていることを確認すればよいのです。ISOやプライバシーマークの内部監査の一部として実施するのもよいでしょう。例えば、規定を参考にチェックリストを作成し、年に1,2回、定期的にチェックしましょう。その際、単に○×だけでなく、作るべき記録を作っているか、情報システムであればアクセス権が正しく設定されているかなど現物を確認し、そのことを記録しておくことを推奨します。

中小企業の場合、社長といわないまでも、取締役や幹部社員など社内で相応の責任がある立場の人が定期的にマイナンバーの取扱状況を作業日報や日報などにより点検してください。

【監査チェックリストの例】

監査チェックリスト

監査日時 2016年2月7日(木) 10~12時
監査員 ○○ ○○ 監査を受けた人 ○○ ○○
チェック項目メ モ評価
社員ごとのマイナンバーの入手日が記録されている 2016年1月1日付入社の社員のマイナンバーを取得したことが「業務日誌」に記録されていなかった。それ以外は問題なかった。
退職した社員のマイナンバーの削除日が記録されている 2016年1月31日付「業務日誌」に当日退職した社員の削除が記録されていた
<備考>
評価は以下の3通りとする。
○:ルール通り実施している
△:一部ルール通りに実施していない、ルールに改善の余地がある
×:ルール通りに実施していない

まとめ

組織的安全管理措置は、ガイドラインに従い業務を遂行するための規定やルールを策定し、その通りに実行することが必要です。決めたことを確実に実行するというのは意外と難しいものです。これは社風によるところが多いです。

中小企業の場合、社風は社長の人柄、考えに大きく影響されます。社長がルールブックというのが大半です。そして、意外な落とし穴が社長だったりします。こういってはなんですが、社長が率先してルールを破っている会社も多いものです。もちろん、手間や業務実態との乖離など理由はそれなりにありますが...

マイナンバーに関しては、社長がルールブックというのはお勧めしません。ルールを文書などにより、明確にし、そのルールに則って業務を遂行することが重要です。そして、ルールをきちんと守るかどうかはモラルです。モラルについては、人的安全管理措置の回で解説します。
万が一、マイナンバーが漏洩し、調査した結果、ルール違反が発覚したら、相応の罰を受けることになります。罰金を取られるだけでなく、風評、信用問題など事業に大きく影響します。
中小企業では規定やルールを自社だけで策定できないということもあるでしょう。このあたりは社労士、税理士だけでなく、コンサルタントやIT企業などが様々な情報提供や支援を行っていますので、それらを利用するとよいでしょう。

【今回のポイント】
● 組織的安全管理措置とはルールをつくって、その通りに実行できるようにすること
● ISMS(ISO27001)認証企業、プライバシーマーク認定企業は若干の手直しで対応可能
● アクセスログを取得、管理することで手間を軽減できる可能性がある

※注1:以下に該当する場合、中小企業となり、軽減措置が認められます。

  • 従業員数が100名以下であること
  • 民間の事業者であること
  • マイナンバーに関する業務を受託していないこと
  • 金融分野の事業者でないこと
  • 個人情報の取扱い事業者でないこと

参照:中小企業におけるマイナンバー法の実務対応(経済産業省)

この記事のライター
羽田 一彰(はだ かずあき)

S&A JAPAN株式会社 取締役/チーフコンサルタント
某審査機関 ISO27001、ISO9001審査員
中小企業の勤務経験を活かして、従業員100名以下の中小企業に対してマネジメントシステム導入と運用の支援を中心に活動する傍ら、2015年にマイナンバー検定2級を取得し、マイナンバー対応に関する講演も行っている。

会社Webサイト
S&A JAPAN株式会社
関連記事

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook