2015 年 2 月 13 日版 わかる! マイナンバー 特定個人情報取扱い ガイドライン 株式会社ワイイーシーソリューションズ 本資料について 本内容は 2014 年 12 月末時点の政府などの公開情報をもとに 当社の解釈にて作成しておりますので 今後の法改正 制度設計等により変更になる可能性があります
はじめにお読みください 2016 年 1 月に利用開始されるマイナンバー制度について 特定個人情報保護委員会より 2014 年 12 月 11 日に 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) ( 以降 ガイドラインと表記 ) が公開されました このガイドラインは 全ての民間企業における マイナンバー取扱い について指針を定めたものです 本書では このガイドラインから民間企業がとるべき対応をご案内いたします ) 本書では基本的に 個人番号 を マイナンバー と表記しておりますが ガイドラインからの引用表現については 個人番号 と表記している箇所もございます 例 ) 個人番号利用事務実施者 本書に関するお願い 本書は ガイドラインを当社独自の観点で調査し解釈したものになります 最新情報は ご質問の内容に応じガイドラインをご確認くださいますようお願いいたします 2
目次 ガイドラインの目的(P.5) 用語について(P.6) 各論 の概要(P.7) 2. 特定個人情報に関する安全管理措置 安全管理措置について (P.19) 3. ご参考 ガイドライン関連の情報 WEB サイト (P.21) 3
4
ガイドラインの目的 マイナンバーは 行政を効率化し 国民の利便性を高め 公平 公正な社会を実現する社会基盤となる為に導入されるものです 公平 公正な社会の実現 所得や他の行政サービスの受給状況把握等 国民の利便性の向上 行政手続きの簡素化 自己情報確認等 行政の効率化 行政機関 団体間での業務連携 効率化等 しかし このマイナンバーに対して国民からの懸念もあります 個人情報が一気に漏えいするのでは? 個人情報を国に一元管理されないか? なりすまし 被害にあわないか? 現状 行政分野毎に別々の番号を利用 行政分野間で情報連携不可 年金 税 行政運営効率化 ソリューション 福祉 マイナンバーで行政分野をまたがった個人の特定と情報連携! 税 年金 マイナンバー 福祉 ガイドラインは 企業のマイナンバーを含む特定個人情報の取扱い指針を定めたもので ガイドラインの中で しなければならない 及び してはならない と記述している事項については これらに従わなかった場合 法令違反と判断される可能性があります 5
用語について以降のページより ガイドラインの概要に触れていきますが 下記 2つの用語の内容と関係を覚えておきましょう 個人番号関係事務実施者 番号法や条例に基づき個人番号利用事務実施者に マイナンバーを記載した書面の提出などを行う人 個人番号利用事務実施者 マイナンバーを使って番号法や条例で定める行政事務などを処理する国の行政機関 地方公共団体 独立行政法人など 個人番号関係事務実施者と個人番号利用事務実施者の関係図 民 事業主 ( 個人 / 法人 ) 金融機関 ( 銀行 保険 証券 ) = 個人番号関係事務実施者 報告 届出書面提出 ( 法定調書 ) 確認 認可更正 決定通知 官 注 ) 一部民間企業も対象 行政機関 地方公共団体 独立行政法人 その他 ( 健康保険組合 企業年金基金等 ) = 個人番号利用事務実施者 6
各論 の概要 ガイドラインには 特定個人情報取り扱いについて 7 段階の 各論 が記載されています この 各論 をマイナンバー実務のライフサイクルに対比させると下記のようになります 実務ライフサイクル 取得 安全管理措置等 保管 利用 提供 開示 訂正 利用停止等 廃棄 目次番号 第 4-1 第 4-2 第 4-3 第 4-4 第 4-5 第 4-6 第 4-7 ガイドライン 第 4 各論 の目次 特定個人情報の利用制限第 4-1-(1) 個人番号の利用の制限第 4-1-(2) 特定個人情報ファイルの作成の制限 特定個人情報の安全管理措置等第 4-2-(1) 委託の取扱い第 4-2-(2) 安全管理措置 特定個人情報の提供制限等第 4-3-(1) 個人番号の提供の要求第 4-3-(2) 個人番号の提供の求めの制限 特定個人情報の提供制限第 4-3-(3) 収集 保管制限第 4-3-(4) 本人確認 第三者提供の停止に関する取扱い 特定個人情報保護評価 個人情報保護法の主な規定 個人番号利用事務実施者である健康保険組合等における措置等 マイナンバー実務ライフサイクル順に 各論 内容をご案内します 7
各論 の概要 ガイドライン該当目次第 4-3 特定個人情報の提供制限等 実務ライフサイクル該当箇所 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 取得 安全管理措置等 保管 利用 提供 開示 訂正 利用停止等 廃棄 本人確認 第 4-3-(1) 個人番号提供の要求企業は 社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限って 本人などに対してマイナンバー提供を求めることができます 第 4-3-(2) 個人番号の提供の求めの制限 特定個人情報の提供制限 企業は 法律で限定的に明記された場合を除き マイナンバーの提供を求めてはいけません 従業員等の個人は 法律で限定的に明記された場合を除き 特定個人情報を提供してはいけません 第 4-3-(3) 収集 保管制限番号法で限定的に明記された場合を除き 特定個人情報を収集してはいけません 第 4-3-(4) 本人確認本人確認は 番号法や番号法施行令 番号法規則事務 個人番号利用事務実施者が認める方法に従う必要があります 例 : 個人番号カード提示等 8
各論 の概要 ガイドライン該当目次第 4-2 特定個人情報の安全管理措置等 実務ライフサイクル該当箇所 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 取得 安全管理措置等 保管 を利用する事務の委託 許諾 間接的な監督義務 必要かつ適切な監督 必要かつ適切な監督 利用 許諾 間接的な監督義務 必要かつ適切な監督 提供 開示 訂正 利用停止等 廃棄 第 4-2-(1) 委託の取り扱い個人番号関係時事務の全部又は一部の委託者は 委託先が自ら果たすべき安全管理措置と同等の措置が講じられるよう 必要かつ適切な監督を行わなくてはいけません ガイドラインには 委託契約に盛込む内容 ( ) も決められています ( 再委託 再々委託の取扱いもガイドラインに記載 ) 秘密保持義務 事業所内からの特定個人情報の持出しの禁止 特定個人情報の目的外利用の禁止 再委託における条件 漏えい事案等が発生した場合の委託先の責任 委託契約終了後の特定個人情報の返却又は廃棄 従業者に対する監督 教育 契約内容の遵守状況について報告を求める規定等 9
各論 の概要 ガイドライン該当目次第 4-2 特定個人情報の安全管理措置等 実務ライフサイクル該当箇所 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 取得 基本方針の策定 取扱規定等の策定 安全管理措置等 組織的安全管理措置 責任者 人的安全管理措置 物理的安全管理措置 技術的安全管理措置 保管 担当者 担当者 利用 提供 開示 訂正 利用停止等 廃棄 第 4-2-(2) 安全管理措置個人番号関係事務実施者は 特定個人情報の管理や事故 ( 漏洩 滅失 毀損 ) の為に 必要かつ適切な安全管理措置をとる必要があります 基本方針の策定 取扱規定等の策定 組織的安全管理措置 人的安全管理措置 物理的安全管理措置 技術的安全管理措置 各安全管理措置の詳細は 本書 19 ページをご参照ください 10
各論 の概要 ガイドライン該当目次第 4-3 特定個人情報の提供制限等 実務ライフサイクル該当箇所 取得 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 保管 安全管理措置等 保管 利用 提供 開示 訂正 利用停止等 廃棄 特定個人情報ファイル 第 4-3-(3) 収集 保管の制限特定個人情報は 番号法で限定的に明記された場合を除き 保管してはいけません 個人番号が記載されている書類で 所管法令によって一定期間保存が義務付けられているものは その期間保管することとなります < 特定個人情報を保管できるケース > 従業員等 雇用契約等で継続的な関係にある場合 ( 源泉徴収事務 健康保険 厚生年金保険届出事務等のためにマイナンバーを翌年度以降も継続的に利用する必要が認められる為 ) 従業員が休職中であっても 同様 土地の賃貸借契約等で継続的な関係である場合 ( 支払調書の作成事務でマイナンバーが必要の為 ) < 特定個人情報を保管できないケース > 従業員の営業成績等の管理を目的としたマイナンバー保管等 廃棄については 本書 15 ページを参照ください 11
各論 の概要 ガイドライン該当目次第 4-1 特定個人情報の利用制限 実務ライフサイクル該当箇所 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 取得 安全管理措置等 保管 利用 特定個人情報ファイル 利用 提供 開示 訂正 利用停止等 廃棄 第 4-1-(1) 個人番号の利用制限マイナンバーは 番号法の範囲でのみ利用可です 本人の同意があっても番号法範囲外での利用は不可 例 ) 個人番号は社員番号には利用できません 第 4-1-(2) 特定個人情報ファイルの作成の制限特定個人情報ファイルの作成は 番号法によって限定された事務 ( 源泉徴収票作成 健康保険 年金関連の事務等 ) に限って作成可能です 例 ) 従業員の個人番号を利用した営業成績管理ファイルは作成できません 12
各論 の概要 ガイドライン該当目次第 4-3 特定個人情報の提供制限等 実務ライフサイクル該当箇所 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 取得 安全管理措置等 保管 利用 提供 開示 訂正 利用停止等 支払調書 源泉徴収票 被保険者資格取得届 第 4-3-(2) 個人番号の提供の求めの制限 特定個人情報の提供制限企業が特定個人情報を提供できるのは 社会保障 税及び災害対策に関する特定の事務のために従業員等の特定個人情報を行政機関等及び健康保険組合等に提供する場合等に限られます < 提供の意義 > 提供 は 法的人格を超える特定個人情報の移動を意味します 同一法人の内部など 法的人格を超えない特定個人情報の移動は 提供 ではなく 利用 になります A 社 営業部 提供 B 社 廃棄 利用 経理部 提供 可能なケース A 社が B 社に給与事務等を委託 A 社が B 社に吸収される 13
各論 の概要 ガイドライン該当目次第 4-4 第三者提供停止に関する取扱い 実務ライフサイクル該当箇所 取得 安全管理措置等 保管 利用 提供 開示 訂正 利用停止等 廃棄 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 開示 訂正 利用停止等 第三者提供の禁止特定個人情報が 違法に第三者に提供されていることを知った本人から 提供停止が求められ 理由があることが判明した時には 第三者への提供を停止しなくてはいけません ( 適正に運用していれば 第三者への提供停止を求められる事態にはなりません ) 第三者提供停止が困難であり かつ本人の権利利益を保護する代替措置をとる場合は 提供停止をしないことも認められています 開示 訂正 利用停止 の取扱は 個人情報保護法における取扱いと同じです ( 個人情報取扱事業者 ( ) が対象 ) 個人情報データベース等を事業の用に供している者 ( 国の機関 地方公共団体 独立行政法人等及び地方独立行政法人を除く ) であって 個人情報データベース等を構成する個人情報によって識別される特定の個人の数 ( 個人情報保護法施行令で定める者を除く ) の合計が過去 6 か月以内のいずれの日においても 5,000 を超えない者以外の者をいう 14
各論 の概要 ガイドライン該当目次第 4-3 特定個人情報の提供制限等 実務ライフサイクル該当箇所 取得 民 ( 個人 ) 民 ( 企業 ) 官 ( 官公庁等 ) 一部民間企業含む 保管 安全管理措置等 保管 特定個人情報ファイル 削除 or 廃棄 削除 or 廃棄の記録 利用 提供 開示 訂正 利用停止等 廃棄 第 4-3-(3) 収集 保管制限マイナンバーは 番号法で明記された事務を処理するために収集保管されるものです それらの事務を行う必要がなくなった場合で 所管法令で定められた保存期間を経過した場合 速やかに廃棄 削除が求められます 例 ) 扶養控除等申告書の場合 保存期間である 7 年間を経過した場合 マイナンバーが記載された申告書はできるだけ速やかに廃棄しなければなりません マイナンバーもしくは特定個人情報ファイルを削除した場合 削除または廃棄した記録を保存する必要があります 削除または廃棄の作業を委託する場合 委託先が確実に削除または廃棄したことについて証明書等により確認する必要があります 15
各論 の概要 ガイドライン該当目次第 4-5 特定個人情報保護評価 特定個人情報保護評価情報提供ネットワークシステムを使用して情報連携を行う事業者 ( ) が 特定個人情報の漏えい その他の事態を発生させるリスクを分析し そのようなリスクを軽減するための適切な措置を講ずることを宣言するもの ( 情報提供ネットワークは 総務大臣が特定個人情報保護委員会と協議の上 設置し管理するものです ) 健康保険組合など ガイドライン該当目次第 4-6 個人情報保護法の主な規定 個人情報取扱事業者 ( ) は 特定個人情報の適正な取扱いについて 次の通り個人情報保護法の適用を受けます 利用目的の特定 利用目的の通知等 データ内容の正確性の確保 適正取得 保有個人データに関する事項の公表等 開示 訂正等 利用停止等 理由の説明 開示等の求め次応じる手続 手数料 苦情の処理 個人情報取扱事業者は本書 14 ページをご参照ください 16
各論 の概要 ガイドライン該当目次第 4-7 個人番号利用事務実施者である健康保険組合等における措置など 健康保険組合等の個人番号利用事務実施者は 今までの各論に加え 次の措置も留意が必要です 地方公共団体情報システム機構に対する機構保存本人確認情報についての提供の要求 個人番号利用事務対象者のマイナンバーが不明であり 利用事務の処理が必須の場合は 地方公共団体情報システム機構に対してマイナンバー情報提供を求めることが出来ます 情報提供ネットワークシステムによる特定個人情報の情報連携等 行政機関等及び健康保険組合等の間で 特定個人情報について安全かつ効率的に情報連携を行うためのシステムについて 情報提供などの記録 や 秘密の管理等 安全性の確保 などが記載されています ( 情報提供ネットワークは 総務大臣が特定個人情報保護委員会と協議の上 設置し管理するものです ) 17
2. 特定個人情報に関する安全管理措置 18
2. 特定個人情報に関する安全管理措置 安全管理措置について民間企業がマイナンバーの安全管理措置を検討するに当たり 以下項目に沿ってガイドラインでは記述されています ( 従業員数 100 人以下の中小規模事業者において特例的対応方法も記載されています ) 基本方針の策定 取扱規定等の策定 事業者の名称 関係法令 ガイドライン等の遵守 安全管理措置に関する事項 質問及び苦情処理の窓口等 下記のマイナンバー管理段階ごとに取扱い方法 責任者 事務取扱担当者 その任務等を定める 取得 利用 保存 提供 削除 廃棄 組織的安全管理措置 人的安全管理措置 物理的安全管理措置 組織体制の整備 運用状況を確認 ( システムログ又は利用実績記録 ) 情報漏洩事案への体制準備 監査等による見直し 事務取扱担当者の監督 事務取扱担当者の教育 ( 監督 教育の例 : 就業規則への盛込みや研修等 ) 管理区域への入室管理 機器 電子媒体の盗難防止 電子媒体持ち出し時の漏えい防止 マイナンバーの削除 機器 電子媒体の廃棄 技術的安全管理措置 情報システムへのアクセス制御 アクセス者の識別と認証 外部からの不正アクセス防止 情報漏洩防止 19
3. ご参考 20
3. ご参考 ガイドライン関連の情報 WEB サイト 特定個人情報保護委員会 http://www.ppc.go.jp/index.html 民間企業向けに以下資料が配布されています 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) 及び ( 別冊 ) 金融業務における特定個人情報の適正な取扱いに関するガイドライン に関する Q&A 経団連 WEB サイト http://www.keidanren.or.jp/policy/2014/105_summary.html#p2 2014 年 12 月 9 日に開催された マイナンバーガイドライン説明会 の議事要旨が掲載されています また 当日配布された資料も掲載されています 21
3. ご参考 ガイドライン関連の情報 WEB サイト 内閣府 WEB サイト http://www.cas.go.jp/jp/seisaku/bangoseido/ マイナンバーの概要資料 広報資料が掲載されています また よくある質問 (FAQ) や関係法令も掲載されています NEC マイナンバーインフォメーション http://jpn.nec.com/mynumber/ 当社のマイナンバーインフォメーションサイトです 当社講演セミナーの関連資料が掲載されています ( ダウンロードには無料会員登録が必要です ) 22
3. ご参考 関連冊子 マイナンバー対応お済みですか? マイナンバー制度の概要及び 企業での必要な取組みについて記載しております 本書と合わせてお読みくださいますようお願いいたします 23
MEMO 24