まもなく4月、企業では新卒の新入社員を迎える季節になります。中小企業でも大企業ほどの人数ではないにしろ、従業員の入社が多い季節です。
従業員の入社は、個人番号関係事務実施者となる企業の立場からみると、入社に伴う手続きで従業員のマイナンバーを取得しなければならないことになり、昨年までの入社手続きに加えて、その分業務負担が増えることになります。
ここまで、在職中の従業員などのマイナンバーの収集を終え、すでにマイナンバーの管理体制を整えている場合は、取扱規程(マニュアル)なども整備され、入社してくる従業員からのマイナンバーの取得についてもスムーズに作業が進められるものと考えられますが、まだ管理体制を整えきれていない場合はどのようにすれば良いのでしょうか。
まずやるべきは従業員への周知・教育と社内体制の整備
3月17日の朝日新聞の朝刊に、「マイナンバー甘い管理 企業や学校 紛失・流失相次ぐ」との見出しで記事が掲載されました。
この記事では、以下の事例が取り上げられました。
本社の要請で従業員が本人および扶養親族のマイナンバー通知カードを書留で送付し、配送記録では本社に届いているにもかかわらず、担当の総務部門では通知カードが見つからず、紛失したことが判明
全国チェーンのドラッグストアで、各店舗の社内パソコンで5,000人を超える従業員のマイナンバーが約2時間にわたり閲覧可能となり、社外への流失はなかったものの従業員28人が閲覧
横浜市立小学校の職員が教職員とその扶養親族のマイナンバーを記した書類を電車内で紛失
紛失に至った事例では、マイナンバー紛失の対象となった当事者はいずれもマイナンバーの再発行の手続きを取ったようです。
このような過失による紛失や情報漏れでいきなり処罰されることはありませんが、個人情報保護委員会から管理体制等の改善を求められることになり、仮にそれに従わなかった場合は、処罰が検討されることになります。
ここで取り上げられている事例は、少なくとも従業員からマイナンバーの収集を行うところまでは準備を進めていたにもかかわらず、その体制に不備があったといわざるをえません。
これから準備を進める中小企業で、これらのトラブルが起こらないように体制作りを行うにはどのようにすれば良いのでしょうか?
[図1]は、東京商工リサーチが2月26日に公表した「マイナンバー制度に関するアンケート調査」から「マイナンバー制度導入に際して行った(あるいは現在進めている)対応策」を企業が回答したものです。
[図1]マイナンバー制度導入に際して行った(あるいは現在進めている)対応策 |
これを見るとマイナンバー対応を進めている企業では「社内での周知」に力を入れていることがわかります。また、「情報漏洩セキュリティ体制強化」が前回調査(2015年6月~7月)から大きくポイントを落としており、物理的・技術的なセキュリティ強化よりも、マイナンバーに係る人的な要素が重視されるようになってきていることがわかります。
ここでいう「社内での周知」については詳しい内容まではわかりませんが、過失によるマイナンバーの紛失や流失は人的なミスによることが多いことを考えると、従業員へのマイナンバー制度の周知ということが重要視されることは当然のことです。
中小企業でもこのマイナンバー制度の周知から始めていくことが大事です。そしてこの周知は、マイナンバー制度のもと従業員は本人および扶養親族のマイナンバーを企業へ提供しなければならないということを周知するだけでなく、何のために自分の提供したマイナンバーが利用されるのか、そして企業は預かったマイナンバーをどのように管理するのか、マイナンバー制度でのマイナンバーの取り扱い上の決まりごとはどのようになっているのかなど、できれば従業員全員に周知できるように教育する機会を持つことが大事です。
[図2]は内閣官房のマイナンバーについての広報資料を集めたサイトの事業者向け広報資料のページです。
[図2]内閣官房 事業者向け広報資料 |
これらの資料のうち、動画は「事業者向け 社会保障・税番号制度 導入のチェックポイント」、「マイナンバー社会保障・税番号制度が始まります」と2つ用意されていますが、それぞれ10分、20分程度で制度の全体像や事業者がしなければならないことなどが簡潔にまとめられています。
これらの動画や資料などで、マイナンバーの責任者や担当者が内容を理解するのはもちろんですが、そのうえで従業員全員にも動画を視聴する機会を設け、全員が制度や企業でのマイナンバーの取り扱いに対する理解を共有しておくことが、トラブルが起こらない体制づくりのために、まずやるべきことではないでしょうか。
トラブル防止のために取扱規程の作成と従業員への徹底が重要
個人情報保護委員会の「特定個人情報の適正な取り扱いに関するガイドライン」では、安全管理措置を講じるためのベースとして「基本方針」や「取扱規程」の策定を求めています。
ただし、従業員100人以下の中小企業ではこれらの策定は義務ではありません。例えば、責任者・担当者を決めたうえで、前項のような教育を全従業員を対象に行うことができれば、「基本方針」に盛り込む項目として例示されている関係法令やガイドラインの遵守に関する認識はできているものとみなしても良いので、「基本方針」の作成に時間を費やすよりは、実際のマイナンバーの取り扱いについてマイナンバーの責任者や担当者がどのようにマイナンバーを取り扱うのか、それを明確にし、従業員に提示するために「取扱規程」の作成に注力することをお勧めします。
では「取扱規程」はどのようにして作成すれば良いのでしょうか。
「基本方針」や「取扱規程」について、各所でひな型が提供されていますが、ここでは、中小企業庁が中小企業・小規模企業の未来をサポートするサイトとして運営している「ミラサポ」のマイナンバー制度サイトで[図3]のように提供されている「取扱規程」を例に、どのように具体的な内容にしていけば良いのか考えてみましょう。
[図3]ミラサポの「取扱規程」などの様式ダウンロード |
ここからダウンロードできる「特定個人情報取扱規程」は、「紙」で管理する場合、「パソコン」で管理する場合、「クラウド」で管理する場合と分かれていますが、どれも同じ内容になっています。あくまで、これはひな型なので、これに自社に合わせた取り扱いの内容を加えたり修正したりして、できるだけ具体的な内容とすることが大事です。
ミラサポから入手できる「特定個人情報取扱規程」(以下「取扱規程」)は以下のような構成になっています。
第1条 (目的)
第2条 (定義)
第3条 (取扱業務の範囲)
第4条 (組織体制)
第5条 (守秘義務)
第6条 (法令等の遵守)
第7条 (情報漏えい対応策)
第8条 (収集の制限)
第9条 (個人番号の提供の要求)
第10条 (本人確認)
第11条 (取得)
第12条 (利用)
第13条 (提供)
第14条 (第三者提供の禁止)
第15条 (保管)
第16条 (特定個人情報ファイル作成の制限)
第17条 (廃棄)
第18条 (組織的安全管理措置)
第19条 (人的安全管理措置)
第20条 (物理的安全管理措置)
第21条 (技術的安全管理措置)
第22条 (委託先の監督)
第23条 (苦情や相談等の対応)
第24条 (開示・訂正)
第25条 (違反時の対応)
第26条 (規程の改定)
附則
まず、「取扱業務の範囲」をチェックしましょう。この「取扱規程」では、業務の範囲を網羅的に記載しているので、仮に実際に取扱対象とならない業務が記載されていても、今後必要となることも想定してそのままでも構いません。
その上で、以下のような手順でできるだけ具体的な内容にしていきましょう。
マイナンバー取扱の責任者、担当者を決めます。担当者はもともと取扱業務を担当していた従業員とすることが多いと思われますが、人数はできるだけ絞り込みましょう。そして、第4条(組織体制)に責任者、担当者の名前(または部署・役職)を入れて、誰が責任者・担当者なのかを明確にします。
担当者から責任者への報告の仕方、緊急性に応じて、書面なのか口頭なのかなどを明確にし、担当者から責任者へ報告することが記載されている条文(例えば第7条(情報漏えい対応策)など)に反映します。
従業員などからのマイナンバーの取得方法、その際の本人確認方法をどのように行うのかを決め、第10条(本人確認)および第11条(取得)にその方法を明記します。特に、従業員からの取得および本人確認と、外部の支払先である個人事業主からの取得および本人確認については、方法もおのずと異なってくることから、分けて記載するようにします。例えば前項で取り上げたトラブル事例のような郵送でマイナンバーおよび本人確認書類を取得するような場合は、誰が受け取りを確認するかなども明記します。
マイナンバーを保管する場所および取り扱う場所を決め、マイナンバーの担当者以外がマイナンバーを見ることができないような措置をどのように講じるか決めます。そして、それを第12条(利用)、第15条(保管)、第20条(物理的安全管理措置)に反映します。
マイナンバーの記載が義務付けられる書類を誰がどのように作成するのか、そして提出はどのような方法で行うのかを決め、第12条(利用)に反映します。
マイナンバーを電子化して管理する場合は、社内のパソコンで行うのか、クラウドサービスを利用するのか、それぞれのシステムで提供されるアクセス制限などをどのように利用するのかを決めます。そして、それを第21条(技術的安全管理措置)に反映する。
保管しているマイナンバーを廃棄する時期や方法を定め、第17条(廃棄)に反映します。
以上で決めたそれぞれのシーンの具体的な方法にもとづき、第18条(組織的安全管理措置)に記載されている管理簿の運用方法を定め、それを同条項に反映します。
ここまで、具体的に決めること、そしてそれにもとづき「取扱規程」を自社に合った内容とすることができれば、担当者が処理に迷うこともなくなります。また、こうして作成した「取扱規程」を従業員や外部の支払先にも提示すれば、信頼を得ることができます。
既存の従業員などからマイナンバーを取得・管理するだけでなく、従業員の入社があればその都度マイナンバーを取得・管理しなければなりません。新たな個人事業主と取引する場合もその個人事業主からマイナンバーを取得・管理しなければなりません。こうしたことをスムーズに行えるようにするためにも、紛失や漏えいのリスクを軽減できる継続的で安定的なマイナンバーの管理・運用体制作りが求められるのです。
前々回、前回にわたって、マイナンバー管理システムの選択肢について取り上げてきましたが、クラウドサービスによる管理で漏えいリスクを削減できても、管理・運用のベースとなる組織体制や教育などをおろそかにしていると、人的なミスによりトラブルが起こり得ます。
中小企業であっても、個人番号関係事務実施者として責任を負わざるを得ない以上、今からでも遅くはありませんので、全従業員への教育および具体的な内容を盛り込んだ「取扱規程」の作成に取り組んでいくこと、これをベースに継続的・安定的にマイナンバーを管理・運用できる体制作りを進めていきましょう。
著者略歴
中尾 健一(なかおけんいち)
アカウンティング・サース・ジャパン株式会社 取締役
1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。