2015.02.04
レポート
民間事業者におけるマイナンバーガイドラインへの対応
民間事業者におけるマイナンバーガイドラインへの対応準備
第一法律事務所 弁護士 福本 洋一氏
本講演では、2014年12月に公表された、マイナンバーに関する事業者向けのガイドラインを踏まえて、個人番号の取扱いの対応準備としてどのようなタスクがあるか、個人情報保護法の要求と異なる点や注意点などについてお話したい。
マイナンバーについて
マイナンバー法の成立時には民間事業者への影響はあまり意識されていなかったが、個人番号は、定められた事務以外での利用が禁止され、厳格な管理が求められるものであり、民間事業者は、マイナンバー法により、個人番号を責任を持って厳格に取得・管理するよう要求されていることをまず認識する必要がある。
民間の一般事業者においては、従業員(給与所得の源泉徴収票、健康保険・雇用保険・年金関連書類等)のほかに、配当支払い先の株主、依頼先の弁護士、税理士、社会保険労務士、賃貸不動産の賃貸人等の個人番号を取得し、税務署に提出する法定調書等に記載することとなる。金融機関は、個人番号を取得する範囲がより広く顧客にも及び、一般事業者向けとは別に「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」が定められている。
個人番号は、2017年1月に作成する2016年度の源泉徴収票や支払調書等に記載することになるが、短期間のアルバイト雇用が多い業態など2016年中に個人番号を取得した方がよい場合も考えられ、そのためには、2015年度中に対応規定や手続きの整備等が必要となる。
マイナンバー法による個人情報の管理
現行の個人情報保護法は、取り扱う個人情報の件数が「過去6か月間において5,000人分超」の事業者を対象としているが、マイナンバー法では、5000人分超の個人情報を取り扱っていなくても雇用者が1名でもいる事業者は対象となる。個人番号等の取扱いに関する義務としては以下の内容が定められている。
罰則については、個人情報保護法では間接罰しか規定されていないが、マイナンバー法では、直罰規定となっており、正当な理由のない特定個人情報ファイルの提供など、特定の行為をすることにより刑事罰が科される。法律の内容を知らずに違反してしまった場合も罪に問われうるので、社内における教育が非常に重要になってくる。以下、事業者編ガイドラインの内容に沿って、民間事業者が行うべき準備対応のタスクと注意点を挙げていく。
特定個人情報の利用制限
まず、個人番号の具体的な利用目的および利用目的変更については、本人への通知が義務づけられているため、民間事業者は、想定される個人番号を利用する事務の洗出しが必要である。従業員の扶養親族等や、弁護士・税理士などの個人番号を扱うこともあるため、本人への通知方法としては、ガイドラインで例示されている社内LANや就業規則などでの通知のみでなくプライバシーポリシーの改定などが必要となることも考えられる。
個人番号の取扱いについては、本人の同意があったとしても制限された事務以外での利用や第三者提供が禁じられ、違反すると刑罰が科される場合もあるため、この点についての十分な社員教育が必要である。個人番号を管理するデータベースについては、バックアップファイルを含めて、個人番号関係事務以外の事務で個人番号を利用できないように、適切なデータベース設計やアクセス制限等の対応が必要となる。
特定個人情報の安全管理措置等
安全管理措置の検討手順としては、個人番号を取り扱う事務と特定個人情報等の範囲、事務取扱担当者を明確化し、基本方針を策定または既存のプライバシーポリシーを改定、取扱規程等を策定または個人情報保護取扱い規定等を改正する必要がある。特に、個人番号の取得時の本人確認の手続き、データベースの作成禁止、収集保管制限は、個人情報保護法に定めがなく、新たに明記することが必要となる。 委託者には、委託先の安全管理措置の監督義務が課せされているため、個人番号関係事務の委託の有無、委託先を洗出し、契約内容を確認し、問題がある場合は見直しの交渉、または委託先変更を検討する必要がある。クラウドサービスを利用したシステムで個人番号を管理する場合は、契約書において個人番号の取扱いの禁止を定め、個人番号へのアクセス制御がされている場合を除き、クラウドサービス事業者への監督の義務が生じ、監督方法の検討が必要となる。保守サービス事業者に対する監督は、委託元で保守が行われる場合は不要だが、委託元の個人番号を含む記憶媒体等を持ち帰っての作業やリモート操作等が行われる場合などには必要となる。さらに再委託先についても、委託元に確認の義務が課されているため、委託先の監督と同様に、個人番号関係事務の再委託先を洗い出し、契約内容を確認し、問題がある場合は見直しの交渉、または再委託中止の要請や委託先変更を検討する必要がある。 個人番号を利用する必要がなくなった場合には、復元不可能な手段で個人番号を削除・廃棄し、その記録を保管することが要求されているため、社内規定における個人情報の廃棄方法を確認し、個人番号の廃棄の記録に関するルールを追加することが必要となる。また、削除・廃棄を委託する場合には、委託先から廃棄証明書等を受領する必要がある。
特定個人情報の提供制限等
個人番号の取得時期は、事務の発生時が原則であるが、契約締結時等の事務の発生が予想できた時点で求めることは可能とされている。出向・転籍者の個人番号については、出向者の意思に基づく場合に限り出向元から出向先への提供が可能とされているため、書面やシステム操作による出向者の意思表明と情報受渡の仕組みを検討する必要がある。また、グループ会社間における従業員情報の管理については、委託契約を確認し、個人情報を共同管理している場合、グループ内共有データベースのアクセス制限を確認する必要がある。
所管法令において定められている保存期間を経過した個人番号は速やかに削除・廃棄するように求められているため、社内規程における個人番号の記載される帳票類の保管期間の確認・保管期間の満了時の把握方法(システム対応等)の検討・構築も必要となる。個人番号の取得と本人確認については、従業員の配偶者等や、株主、弁護士など従業員以外から取得する場合も含めて、具体的な本人確認手続(対面、郵送、オンラインなど)の検討・選択と社員教育が必要となる。
おわりに
このように、個人番号に関係する事務と、個人番号の取扱いに関して準備対応すべきタスクの内容は、特定の部門にとどまらず広範囲に及ぶので、具体的な準備対応の全体を管理する部署や責任者を設置することが必要だと考える。また、個人番号の取扱いについては、厳しい刑事罰もあるので、安易に従業員任せにせず、担当者への教育をしっかり行う必要があるだろう。グループ会社内の情報管理については、マイナンバー法では、本人の同意や共同利用による第三者提供が認められていないため、これまでの個人情報の管理手法を見直し、各社ごとに考える必要がある。まずは皆様に、マイナンバー法対応は、一部の担当者が行えばよい問題ではないことを認識し、社内における課題・問題の認識から対応を始めていただきたいと考える。
- 2015年2月4日JIPDEC緊急セミナー(大阪)「マイナンバー事業者ガイドラインから読む、これからの個人情報保護」