企業年金のマイナンバーの取扱いに関する省令 通知について ( 続報 ) H27.10.14 付年金 NEWS 企業年金のマイナンバーの取扱いにおける厚労省通知について に平成 27 年 10 月 0 日公布の省令 ( ) の内容を追記しております 行政手続における特定の個人を識別するための番号の利用等に関する法律別表第一の主務省令で定める事務を定める命令の一部を改正する命令 ( 内閣府 総務三 ) 平成 27 年 10 月 日本生命保険相互会社 本資料は 作成時点における信頼できる情報にもとづいて作成されたものですが その情報の確実性を保証するものではありません 本資料に含まれる会計 税務 法律等の取扱いについては 公認会計士 税理士 弁護士等にご確認のうえ 貴団体自らご判断ください ホームページアドレス http://www.nenkin.nissay.co.jp/info/report.htm H27.10.0 日本生命保険相互会社団体年金コンサルティング課発行 ( 日本年基 201510-170-069 D)
目次 法令 通知の概要について 1 NEW 個人番号取得事務について 法定調書等記載事務について 6 安全管理措置について 8 NEW 委託契約について 14 Q&A について 18 NEW 用語の定義 特定個人情報 個人番号をその内容に含む個人情報をいう 特定個人情報等 個人番号及び特定個人情報をいう 個人番号利用事務 行政機関 地方公共団体 独立行政法人等その他の行政事務を処理する者が番号法第 9 条第 1 項又は第 2 項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し 及び管理するために必要な限度で個人番号を利用して処理する事務をいう 連合会 今回追記した項目にのマークを付けております 企業年金連合会をいう NEW
法令 通知の概要について 今回追記 1 平成 27 年 10 月 0 日付の省令により 以下のとおり正式決定した 1 企業年金が 年金 一時金の支給に関する事務 のうち 法定調書等を作成する事務について 個人番号を利用できること 21 のために 連合会を通じて 個人番号を取得できること 法 律 マイナンバーの安易な利用拡大を制限するため 法律で マイナンバーの利用範囲が制限されている 企業年金については 年金 一時金の支給に関する事務 などのうち 省令で定める事務に限り 個人番号を利用できるとされている 厚年基金 個人番号利用事務実施者 DB を実施する事業主 基金 DC を実施する事業主 個人番号の利用範囲 厚年基金の年金 一時金の支給に関する事務のうち 省令で定める事務 DB の年金 一時金の支給に関する事務のうち 省令で定める事務 DC の年金 脱退一時金の支給に関する事務などのうち 省令で定める事務 省令 NEW 今回の省令公布により 次の2つが正式に決定された 1 年金 一時金の支給に関する事務 のうち 次の法定調書等を作成する事務について 個人番号を利用できること所得税 支払調書 源泉徴収票地方税 公的年金等支払報告書 特別徴収票 相続税 支払調書 2 1 のために 連合会を通じて 個人番号を取得できること ガイドライン 特定個人情報の適正な取扱いを確保するための具体的な指針を定めている
2 平成 27 年 10 月 5 日付の通知は 法令 ガイドラインを受けて 企業年金等に関する特定個人情報の取扱いを定めている 具体的には 個人番号取得事務 法定調書等記載事務 安全管理措置 委託契約 の 4 点を規定している なお 省令改正を受けて 通知が改正される予定 通 知 法令 ガイドラインを受けて 企業年金等に関する特定個人情報の取扱いを定めたもの 具体的には 主に次の 4 つを規定 なお 省令改正を受けて 通知が改正される予定 個人番号取得事務 (P~5 参照 ) 法定調書等記載事務 (P6~7 参照 ) 個人番号を取得する事務 取得した個人番号を法定調書等に記載する事務 安全管理措置 (P8~1 参照 ) 委託契約 (P14~17 参照 )
仕組み通知の内容個人番号取得事務について 通知では DB 厚年基金の 個人番号取得事務 について 具体的な取扱いを定めている ( 注 )DC では 個人番号は運営管理機関経由で記録関連運営管理機関が収集するため 企業年金自身には 個人番号取得事務 は発生しない 個人番号取得事務 DB 厚年基金 法定調書等記載事務 (P6~7) については (1) 生保 信託に委託する場合 (Ⅱ 型の団体 ) を例として記載 (1) 本人から取得する場合 企業年金生保 信託税務当局委託契約 2 本人確認 1 受給権者等 5 4 法定調書等に個人番号記載 厚年基金が発行する 加入員証 は 厚年基金が認める場合に限り 本人確認書類として取り扱われること (5 ページ参照 ) (2) 母体企業から取得する場合 委託契約1 企業年金生保 信託税務当局委託契約 母体企業 2 本人確認 4 5 法定調書等に個人番号記載 ガイドライン に則ること(5ページ参照) 利用目的及び利用時期等について母体企業が本人に予め明示するよう依頼すること 収集時期については 特定個人情報の漏えいの危険性を踏まえ適切に判断すること 6 受給権者等
() 連合会から取得する場合仕組み通知の内容委託契約4 DB 厚年基金 ( 続き ) 企業年金 連合会 2 1 委託契約 生保 信託 5 4 法定調書等に個人番号記載 地方公共団体情報システム機構 通知発出予定 税務当局 企業年金 受給権者等 運営管理機関 1 2 DC 記録関連運営管理機関 本人確認 委託契約 委託契約 委託契約 4 資産管理機関 6 5 法定調書等に個人番号記載 個人番号は運営管理機関経由で 記録関連運営管理機関が収集するため 企業年金が個人番号に関わることはない 企業年金自身には 個人番号取得事務 は発生しない 税務当局 ( 注 )DC では DB 厚年基金とは異なり 記録関連運営管理機関で給付の裁定を行うため 企業年金ではなく 記録関連運営管理機関が受給権者等から運営管理機関経由で個人番号を収集する ( 注 ) 運営管理機関を介さずに 記録関連運営管理機関が直接 受給権者等から個人番号を収集する場合もある
5 < 参考 : 個人番号の取得に関して ガイドライン で求められている内容 > 個人番号を提供する者 特定個人情報の提供制限 番号法で限定的に明記された場合を除き 特定個人情報の提供は不可 個人番号の提供を受ける者 個人番号の提供の要求 個人番号利用事務等を処理するために必要がある場合に限って 本人などに対して個人番号の提供を求めることが可能 個人番号の提供の求めの制限 番号法で限定的に明記された場合を除き 個人番号の提供を求めることは不可 収集 保管制限 番号法で限定的に明記された場合を除き 特定個人情報の収集は不可 本人確認 本人から個人情報の提供を受けるときは 個人番号カードの提示等 番号法で認められた方法での本人確認が必要 < 参考 : 本人確認書類 > 番号確認書類 身元確認書類 個人番号カード の提示を受ける場合 通知カード の提示を受ける場合 上記以外 個人番号カード 通知カード運転免許証 or パスポート 通知カード 次のうち 2 以上の書類 年金手帳 厚年基金の加入員証 住民票の写しなど運転免許証 or パスポート or など など など
仕組み通知の内容法定調書等記載事務について 6 通知では DB 厚年基金の 法定調書等記載事務 について 生保 信託に委託せず 企業年金自身で記載する場合 ( いわゆる Ⅰ 型の団体 ) の具体的な取扱いを定めている ( 注 )DB 厚年基金で生保 信託に委託する場合 (Ⅱ 型の団体 ) や DC では 企業年金自身には 法定調書等記載事務 は発生しない 法定調書等記載事務 DB 厚年基金 個人番号取得事務 (P~5) については (2) 母体企業から取得する場合 を例として記載 (1) 生保 信託に委託する場合 (Ⅱ 型の団体 ) 企業年金生保 信託税務当局委託契約 委託契1 (2) 企業年金自身で記載する場合 (Ⅰ 型の団体 ) 企業年金 税務当局 4 法定調書等に 個人番号 5 約委収集個人番号記載 母体企業 6 4 法定調書等に個人番号記載 母体企業 5 受給権者等 受給権者等 2 本人確認 1 2 本人確認 作業中に他の者から特定個人情報等が見えないようにすること ( 仕切られた空間で限られた者のみが個人番号を扱うなど ) 企業年金自身には 法定調書等記載事務 は発生しない 託契約 パソコンで 法定調書等に特定個人情報等を記載する場合 紛失が起きないよう 印刷された用紙の枚数を確認すること 人の手で 法定調書等に特定個人情報等を記載する場合 紛失が起きないよう 作業前後で書類の枚数を確認すること
仕組み通知の内容7 DC 企業年金 運営管理機関 記録関連運営管理機関 委託契約 委託契約 委託契約 資産管理機関 税務当局 受給権者等 1 2 本人確認 4 6 5 法定調書等に個人番号記載 企業年金自身には 法定調書等記載事務 は発生しない
安全管理措置について 今回追記 8 通知では 企業年金等 個人番号を利用する者が 個人番号の適切な管理のために講じる必要がある 安全管理措置 について 具体的な取扱いを定めている なお DC の事業主は個人番号を扱わないものの 取扱規程等 を策定し 安全管理措置を講じる必要がある ( 前回の年金 NEWS から変更 ) 安全管理措置の検討手順 NEW DB DC 厚年基金 以下の手順で安全管理措置を検討 (= ガイドライン に記載されている内容が 通知 でも改めて明記されている ) なお DC の事業主は個人番号を扱わないものの あくまでも 個人番号利用事務実施者 であり (P1 参照 ) 資産管理機関に委託しているため 取扱規程等 を策定し 安全管理措置を講じる必要がある ただし その内容は 委託先の監督など 限定的なものとなると考えられる 1. 個人番号を取り扱う事務の範囲の明確化 2.1 で明確化した事務に用いる特定個人情報等の範囲を明確化.1 で明確化した事務に従事する事務取扱担当者を明確化 4. 基本方針の策定 5. 取扱規程等の策定
項目ガイドラインの内容通知の内容 (= ガイドラインの具体的取扱い ) 組織的安全管理措置9 安全管理措置の内容 団体が講ずる必要がある安全管理措置の内容は 次のとおり ( 通知 では ガイドライン の具体的な取扱いを定めている ) DB DC 厚年基金 組織体制の整備 取扱規程等に基づく運用 取扱状況を確認する手段の整備 情報漏えい等事案に対応する体制の整備 取扱状況の把握及び安全管理措置の見直し 安全管理措置を講ずるための組織体制を整備 取扱規程等に基づく運用状況を確認するための システムログ 利用実績を記録 特定個人情報ファイルの取扱状況を確認するための手段を整備 情報漏えい等の事案の発生 兆候を把握した場合に 適切 迅速に対応するための体制を整備 特定個人情報等の取扱状況を把握した上で 安全管理措置を評価 見直し 改善 システムログ 利用実績を記録すること システムログ 利用実績の記録は 1 年程度保存すること 記録 1 年程度保存
項目ガイドラインの内容通知の内容 (= ガイドラインの具体的取扱い ) 人的安全管理措置物理的安全管理措置10 事務取扱担当者の監督 事務取扱担当者の教育 特定個人情報等が適正に取り扱われるよう 事務取扱担当者に対する必要かつ適切な監督を実施 事務取扱担当者に対する 特定個人情報等の適正な取扱いの周知徹底 適切な教育を実施 特定個人情報等を取り扱う区域の管理 機器 電子媒体等の盗難等の防止 管理区域 1 取扱区域 2 を明確化 特定個人情報等を取り扱う機器 電子媒体 書類等の盗難 紛失等を防止 パソコン上での特定個人情報等の保存 パスワードをかけ または暗号化して保存すること パスワードは定期的に変更すること 特定個人情報 電子媒体への特定個人情報等の保存 パスワードをかけ または暗号化して保存するとともに 鍵のついた金庫などに保管すること 保管状況を定期的(1 週間に1 回等 ) に確認すること パスワードは定期的に変更すること 特定個人情報 1 管理区域 : 特定個人情報ファイルを取り扱う情報システムを管理する区域 2 取扱区域 : 特定個人情報等を取り扱う事務を実施する区域
理的安全管理措置(続き)11 項目ガイドラインの内容通知の内容 (= ガイドラインの具体的取扱い ) 物電子媒体等を持ち出す場合の漏えい等の防止 容易に個人番号が判明しない措置 追跡可能な移送手段の利用等を実施 電子媒体を用いて 特定個人情報等を提供 パスワードをかけ または暗号化すること その上で 施錠できる搬送容器に入れるなどして送付すること あとで送付履歴が分かるようにすること 特定個人情報 鍵のかかるケースに入れて送付 あとで送付履歴が分かるようにする パスワード設定暗号化 書面を用いて 特定個人情報等を提供 施錠できる搬送容器に入れるなどして送付すること あとで送付履歴が分かるようにすること 特定個人情報を含む書面 鍵のかかるケースに入れて送付 あとで送付履歴が分かるようにする
項目ガイドラインの内容通知の内容 (= ガイドラインの具体的取扱い ) 物理的安全管理措置(続き)技術的安全管理措置12 個人番号の削除 機器 電子媒体等の廃棄 次の場合には 個人番号を速やかに復元できない手段で削除 廃棄 - 事務を行う必要がなくなった場合 - 法令等の保存期間を経過した場合 削除 廃棄した記録を保存 委託する場合は 委託先が確実に削除 廃棄したことを証明書等により確認 次の場合には 特定個人情報等を速やかに削除 廃棄すること - 事務を行う必要がなくなった場合 - 法令等の保存期間を経過した場合 その場合 外部に情報が漏れないよう 十分なセキュリティ措置を講じること 書面 アクセス制御 機器 電子媒体等の盗難等の防止 情報システムを利用する場合 事務取扱担当者 特定個人情報ファイルの範囲を限定するため 適切なアクセス制御を実施 特定個人情報等を取り扱う情報システムは 事務取扱担当者が正当なアクセス権を有する者であることを 識別した結果に基づき認証 担当者を予め設定し 担当者以外 当該パソコンは利用しないようにすること 担当者 担当者以外
項目ガイドラインの内容通知の内容 (= ガイドラインの具体的取扱い ) 技術的安全管理措置(続き)1 外部からの不正アクセス等の防止 情報漏えい等の防止 情報システムを外部からの不正アクセス 不正ソフトウェアから保護する仕組みを導入し 適切に運用 特定個人情報等をインターネット等により外部に送信する場合 通信経路における情報漏えい等を防止 基幹システム パソコン等はインターネットから切断すること インターネット 通信を用いて 特定個人情報等を提供 パスワードをかけ または暗号化すること その上で 電子メールではなく 専用回線等のセキュリティが確保された通信経路 で送信すること 特定個人情報 セキュリティが確保された専用回線 電子メール送信 パスワードを設定 具体的には以下を想定 専用回線等 (VPN 回線 ) VPN 等専用回線に準じたもの SSL/TLS 等を活用した暗号化による通信
委託契約について 14 通知では 個人番号を利用する者が 法定調書等の事務について 委託 を行う場合の具体的な取扱いを定めている 委託の一般的な取扱い 項目ガイドラインの内容通知の内容 委託者は 委託先に対して 必要かつ適切な監督 を行う 法定調書等の事務を委託する場合も 委託先において適切な安全管理措置が行われるよう 必要かつ適切な監督 を行うこと そのために 委託契約には 次の項目を定めた規定が盛り込まれること 委託 委託契約に記載する内容 秘密保持義務 事業所内からの特定個人情報等の持ち出しの禁止 ( 但し 委託元又は再委託に伴う場合は除く ) 特定個人情報等の目的外利用の禁止 再委託における条件 漏洩事案等が発生した場合の委託先の責任 委託契約終了後の特定個人情報等の返却又は廃棄 特定個人情報等を取り扱う従業者の明確化 従業者に対する監督 教育 契約内容の遵守状況について報告を求め 必要に応じて委託先に実地の調査を行うことができること 再委託 委託先は 委託元の許諾を得た場合に限り 再委託をすることができる 法定調書等の事務の委託先は 委託元である企業年金の許諾を得た場合に限り 再委託をすることができること 再委託の許否については 再委託を受ける者において 特定個人情報等の適切な安全管理が図られていることを 委託を受けた者を通じて確認すること
仕組み通知の内容委託契2 約15 各委託契約ごとの取扱い 通知では 前ページの委託に関する一般的な取扱いに加えて 委託契約が発生する場合ごとの詳細な取扱いも規定 DB 厚年基金 (1) 個人番号取得事務 を母体企業に委託する場合 企業年金生保 信託税務当局委託契約 (2) 個人番号取得事務 を連合会に委託する場合 企業年金生保 信託税務当局委託契約 委託契約1 4 6 5 5 法定調書等に個人番号記載 4 法定調書等に個人番号記載 母体企業 受給権者等 連合会 地方公共団体情報システム機構 2 本人確認 1 委託契約は書面で行うこと ガイドライン で求められている事項(14ページ参照) に加えて 次の事項も盛り込むこと - 母体企業が企業年金に特定個人情報等を提供する際に 通知に定められた安全管理措置 に則ること 通知発出予定 - 企業年金は 母体企業から提供された者が要求した者と合致するか確認し 合致しない場合に母体企業に照会すること 個人番号の提供方法として 電子媒体 書面 を用いる場合の安全管理措置は P11 を参照 通信 を用いる場合の安全管理措置は P1 を参照
() 法定調書等記載事務 を生保 信託に委託する場合仕組み通知の内容DB 厚年基金 ( 続き ) DC 16 企業年金生保 信託税務当局委託契約 委託契約1 母体企業 4 2 本人確認 5 法定調書等に個人番号記載 6 受給権者等 (14 ページに記載の委託に関する一般的な取扱いに則る ) 企業年金 1 受給権者等 運営管理機関 2 委託契約資産管理委託契約記録関連機関運営管理委託契約機関 本人確認 4 5 法定調書等に個人番号記載 資産管理機関が運営管理機関 記録関連運営管理機関に委託する場合には 事業主からの許諾を得ること 委託契約は書面で行うこと ガイドライン で求められている事項(14ページ参照) に加えて 次の事項も盛り込むこと - 特定個人情報等を保管する者は特定個人情報等を長期的に保有する可能性を踏まえ 適切なセキュリティの対策を講ずること - 運営管理機関が記録関連運営管理機関に特定個人情報等を提供する際に 通知に定められた安全管理措置 に則ること - 記録関連運営管理機関は 運営管理機関から提供された者が要求した者と合致するか確認し 合致しない場合に運営管理機関に照会すること 運営管理機関は速やかに確認すること 個人番号の提供方法として 電子媒体 書面 を用いる場合の安全管理措置は P11 を参照 通信 を用いる場合の安全管理措置は P1 を参照 6 税務当局
17 < 参考 : マイナンバーの保管に関する委託 > 企業年金等は 適切な安全管理措置が講じられていると認められる者に対し 保管を委託することが可能 委託の契約は書面で行うこととし 以下の条件を契約に盛り込むこと - 保管状況について定期的に報告を求め 必要がある時は委託先に対して実地の調査を行うこと
Q&A について 今回追記 18 厚生労働省は 平成 27 年 10 月 1 日付の省令公布にあわせて 省令案のパブリックコメントに寄せられた意見に対する回答を示した 省令に関する Q&A NEW 意見 厚生労働省からの回答 1 省令改正により 当該規定に掲げられている企業年金制度等を実施する事業主等が行う当該規定に掲げられている源泉徴収票等の作成に関する事務が 個人番号関係事務 ではなく 個人番号利用事務 となるという理解で良いか また そのように措置した主旨を確認したい 源泉徴収事務については 法律に基づく年金の支払により発生するものであることから 年金事務での源泉徴収事務については 個人番号関係事務ではなく 個人番号利用事務として位置づけるべきであると考えます 2 省令は 源泉徴収票等を作成する目的で 事業主等が連合会に個人番号の取得を委託することを可能とし 当該行為を 個人番号利用事務 と規定するという理解で良いか 貴見の通りです 全般 ガイドラインにおいて 中小規模事業者については安全管理措置の特例的な対応方法が認められている この特例的な対応措置が認められる中小規模事業者から 個人番号利用事務実施者 は除かれているため 企業年金制度等を実施する事業主等が 個人番号利用事務実施者 となった場合 この特例的な対応措置が適用されなくなるという理解で良いか 貴見の通りです 4 個人番号を取得する時期について ガイドラインに 本人との法律関係等に基づき 個人番号関係事務の発生が予想される場合には 契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であると解される とあることから 給付の裁定請求時に限定されないという理解で良いか 貴見の通りです 5 残余財産分配金に関する個人番号取得について 連合会経由で取得できるようにしてほしい 取得可能です
19 厚生労働省は 平成 27 年 10 月 5 日付の通知発出にあわせて 通知に関する Q&A を示した 通知に関する Q&A 質問 厚生労働省からの回答 全般 1 2 省令改正のパブリックコメントが平成 27 年 8 月 20 日から 9 月 18 日に行われましたが これが公布されると 通知にも影響するのでしょうか 企業年金等に関連する事務として取得した個人番号を 国税関係事務において e-tax で送付すること 地方税関係事務において eltax で送付すること等は可能でしょうか 省令が公布された場合には その内容を踏まえて通知を改正することを予定しています 他の行政機関への送付については 当該行政機関の規定に従ってください 外部からの不正アクセス等の防止 (1 ページ参照 ) の具体的取扱いとして通知に規定されている パソコンはインターネットから切断する とは 具体的にどのようにすればよいのでしょうか 例えば 基幹システムから個人の特定個人情報を別のパソコンに映して使用する場合 インターネットに接続していないパソコンを 1 台用意し 特定個人情報の取り扱いはそのパソコンでのみ行うことが考えられます 安全管理措置 4 電子媒体等を持ち出す場合の漏えい等の防止 (11 ページ参照 ) の具体的取扱いとして通知に規定されている ( 電子媒体 書面を用いて特定個人情報を提供する場合には ) 送付履歴がわかるようにする とはどのようなものが考えられるでしょうか 簡易書留や配達証明での送付等が考えられます 5 DB 厚年基金の 安全管理措置の検討手順 (8 ページ参照 ) の 番目に挙げられている 事務取扱担当者を明確化 とは 個人名ではなく 担当部署等の組織名による規定も認められますか 部署名 事務名 ( 事務担当者 等の規定 ) 等による規定で事務取扱担当者の範囲が明確になるのであれば そのような規定も認められます ただし 部署名等による規定では事務取扱担当者の範囲が広範すぎて特定できないような場合には明確になったとはいえず 認められません