書いてあること
- 主な読者:マイナンバーやマイナンバーを含む個人情報(特定個人情報等)の適正な取り扱いを徹底させるに当たって「取扱規程」のひな型が欲しい経営者
- 課題:具体的に何を定めればよいかが分からない
- 解決策:特定個人情報等の取得、利用、保存、提供、削除・廃棄への対応などについて定める
1 マイナンバー制度への対応
「給与所得に係る源泉徴収票作成事務」「雇用保険関係届出事務」「健康保険・厚生年金保険関係届出事務」など、企業がマイナンバーを取り扱うこととなるケースは多岐にわたります。
個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」により、社員数が100人超の企業は、マイナンバーやマイナンバーを含む個人情報(特定個人情報等)の具体的な取り扱いを定めた規程を作成することが義務付けられています。
社員数が100人以下の企業は、取扱規程の策定は義務ではありませんが、「特定個人情報等の取扱い等を明確化する」こととされています。結局のところ、
特定個人情報等の取得、利用、保存、提供、削除・廃棄への対応などについて具体的に定めた「取扱規程」を整備しておく
に越したことはありません。
なお、マイナンバー制度に関する解説などは、個人情報保護委員会の以下のページが参考になります。
■「マイナンバーガイドライン入門(事業者編)」「はじめてのマイナンバーガイドライン(事業者編)」■
https://www.ppc.go.jp/legal/policy/document/
■特定個人情報の適正な取扱いに関するガイドライン(事業者編)■
https://www.ppc.go.jp/legal/policy/my_number_guideline_jigyosha/
■「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A■
https://www.ppc.go.jp/legal/policy/faq/
2 マイナンバー(特定個人情報)取扱規程のひな型
以降で紹介するひな型は一般的な事項をまとめたものであり、個々の企業によって定めるべき内容が異なってきます。実際にこうした規程を作成する際は、必要に応じて専門家のアドバイスを受けることをお勧めします。
【マイナンバー(特定個人情報)取扱規程のひな型】
第1章 総則
第1条(目的)
本規程は、当社における個人番号および特定個人情報(以下「特定個人情報等」という)の取り扱いについて、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「番号利用法」という)、「個人情報の保護に関する法律」および個人情報保護委員会が定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「マイナンバーガイドライン」という)を遵守し、適正に取り扱うための基本事項を定める。
第2条(用語の定義)
本規程において各用語の定義は、次に定めるところによる。なお、本規程における用語は、他に特段の定めのない限り、番号利用法その他関連法令の定めに従う。
1.個人番号
番号利用法の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
2.特定個人情報
個人番号をその内容に含む個人情報をいう。
3.特定個人情報等
個人番号および特定個人情報をいう。
4.個人情報ファイル
個人情報データベース等、ある特定の個人情報について容易に検索することができるように体系的に構成した情報の集合物をいう。
5.特定個人情報ファイル
個人番号をその内容に含む個人情報ファイルをいう。
6.本人
個人番号によって識別される特定の個人をいう。
7.従業員等
当社の役員、正社員、嘱託社員、契約社員、パート社員、アルバイト社員および派遣社員をいう。
第3条(適用範囲)
1)本規程は、当社の全ての従業員等に適用する。
2)本規程は、当社で取り扱う全ての特定個人情報等を対象とする。
第4条(個人番号を取り扱う事務の範囲)
1)当社が個人番号を取り扱う事務の範囲は次の通りとする。
1.雇用保険関係届出事務
2.健康保険・厚生年金保険関係届出事務
3.給与所得・退職所得に係る源泉徴収票作成事務
4.報酬、料金、契約金および賞金の支払調書作成事務
5.配当、剰余金の分配および基金利息の支払調書作成事務
6.不動産の使用料等の支払調書作成事務
2)番号利用法に規定される利用範囲において、第1項各号に定める事務の範囲を超えて個人番号を取り扱う場合、あらかじめ利用目的を明らかにし、本人に通知しなければならない。
第5条(特定個人情報等の範囲)
第4条において当社が個人番号を取り扱う事務において使用される特定個人情報等の範囲は、個人番号、および個人番号とともに管理される氏名、生年月日、性別、住所、電話番号、電子メールアドレスとする。
第2章 特定個人情報等の取り扱い
第6条(特定個人情報等の取り扱いに関する基本方針)
1)当社における特定個人情報等の取り扱いに関する基本方針は次の通りとする。
1.特定個人情報等の取り扱いについて、番号利用法、関連法令およびマイナンバーガイドライン等、国が定める指針その他の規範を遵守し、本規程に従って運用する。
2.特定個人情報等を取り扱う事務の処理に携わる従業員等を明確にする。これに含まれない従業員等は本人もしくはその扶養親族以外の特定個人情報等を取り扱わないものとする。
3.特定個人情報等の漏洩、滅失または毀損(以下「情報漏洩等事案」)を防止するために必要な安全管理措置を講じる。
4.特定個人情報等の取り扱いを外部に委託する際には、別途定める「外部委託管理規程」(省略)に従って、委託先の選定、契約、監督を行う。委託を受けた者が再委託する場合にも当社が同様の監督を行う。
5.特定個人情報等の取り扱いに関する質問・苦情等を受け付ける窓口を設置し、対応に当たる。
2)上記基本方針は、社内に掲示する、もしくはイントラネットに掲載することによって従業員等に周知する。
第7条(個人番号の提供の求め)
1)当社は、第4条に定める個人番号を取り扱う事務を処理するために必要があるときに限り、本人に対し、本人およびその扶養親族の個人番号の提供を求めることができる。
2)第1項にかかわらず、当社は、本人との法律関係等に基づき、第4条に定める個人番号を取り扱う事務の発生が予想される場合には、その時点で個人番号の提供を求めることができるものとする。
3)本人が、個人番号の提供要求または第8条に基づく本人確認を拒む場合には、法令で定められた義務であることを周知し、提供および本人確認に応じるよう促すものとする。
第8条(本人確認)
1)本人から個人番号の提供を受ける場合、別途定める個人番号確認手順および個人番号届出書(省略)に従って、当該本人の個人番号の確認および身元確認を行うものとする。
2)本人の代理人から個人番号の提供を受ける場合、別途定める個人番号確認手順および個人番号届出書(省略)に従って、当該代理人の代理権の確認および身元確認を行い、本人の個人番号の確認を行うものとする。
3)個人番号届出書には、番号利用法の規定により提示を受けることとされている書類またはその写しを添付するものとする。
4)個人番号が変更された場合、本人は速やかに第10条第2項に定める事務取扱責任者に申告するものとする。
5)当社が一定の期間ごとに個人番号の変更の有無を確認する際、本人はその確認に協力するものとする。
第9条(目的外利用の禁止)
当社は、第4条に定める個人番号を取り扱う事務を処理するため以外に、特定個人情報等の取り扱いは一切行わない。ただし、番号利用法に特別の規定がある場合を除く。
第3章 組織的安全管理措置・人的安全管理措置
第10条(組織体制)
1)人事部を特定個人情報等を管理する責任部署とする。
2)人事部長を事務取扱責任者とする。
3)人事部長以外の人事部の従業員等および各部署において個人番号が記載された書類等を受領する担当者を事務取扱担当者とする。
4)法務部長を特定個人情報監査責任者とする。
第11条(事務取扱責任者の責務)
事務取扱責任者は、次の業務を所管する。
1.特定個人情報等の安全管理に関する教育・研修の企画および実施
2.事務取扱担当者の監督
3.特定個人情報等の取り扱い状況の把握
4.特定個人情報等の利用申請の承認および記録等の管理
5.特定個人情報等の取り扱いを外部に委託する場合の、委託先の選定
6.特定個人情報等の取り扱いを外部に委託する場合の、委託先における特定個人情報等の取り扱い状況等の監督(実地調査を含む)
第12条(事務取扱担当者の責務)
1)事務取扱担当者は、本規程およびその他の社内規程並びに事務取扱責任者の指示した事項に従い、十分な注意を払って特定個人情報等を取り扱うものとする。
2)事務取扱担当者は、情報漏洩等事案の発生またはその兆候を把握した場合、速やかに事務取扱責任者に報告するものとする。
3)各部署において個人番号が記載された書類等を受領する事務取扱担当者は、個人番号の確認等の必要な事務を行った後、速やかにその書類等を第10条第1項に定める責任部署に受け渡すこととし、自分の手元に個人番号を残してはならない。
第13条(運用状況の記録)
1)事務取扱担当者は、本規程に基づく運用状況を確認するため、次の事項を記録するものとする。
1.特定個人情報等の取得および特定個人情報ファイルへの入力
2.特定個人情報ファイルの利用・出力
3.特定個人情報等が記録された電子媒体または書類等の持ち出し
4.特定個人情報ファイルの削除・廃棄
5.特定個人情報ファイルの削除・廃棄を委託した場合、委託先から受領した証明書等
2)特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)を記録するものとする。
第14条(取り扱い状況の確認手段)
1)責任部署の事務取扱担当者は、特定個人情報ファイルの取り扱い状況を確認するための手段として、特定個人情報管理台帳に次の事項を記録するものとする。
1.特定個人情報ファイルの種類、名称
2.責任者、取り扱い部署
3.利用目的
4.削除・廃棄の状況
5.アクセス権限を有する者
2)特定個人情報管理台帳には、特定個人情報等を記載してはならない。
第15条(情報漏洩等事案への対応)
1)事務取扱責任者は、情報漏洩等事案が発生したことを知った場合、またはその可能性が高いと判断した場合、適切かつ迅速に対応しなければならない。
2)事務取扱責任者は、情報漏洩等事案が発生したと判断した場合は、その旨を速やかに代表取締役に報告し、事実関係の調査および原因の究明に努めるものとする。
3)事務取扱責任者は、情報漏洩等事案によって影響を受ける可能性のある本人に対し、事実関係の通知、原因関係の説明等を速やかに行うものとする。
4)事務取扱責任者は、情報漏洩等事案が発生した場合、個人情報保護委員会および主務大臣等に対して必要な報告を速やかに行うものとする。
5)事務取扱責任者は、情報漏洩等事案が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
6)二次被害の防止、類似事案の発生防止等の観点から、必要に応じて、事実関係および再発防止策等を公表する。
第16条(教育・研修)
1)事務取扱責任者は、特定個人情報等の安全管理に関する教育・研修を実施し、事務取扱担当者および従業員等に本規程を遵守させるものとする。研修の内容および実施時期は、毎年、事務取扱責任者が定める。
2)事務取扱担当者は、事務取扱責任者が実施する特定個人情報等の安全管理に関する教育・研修を受けなければならない。
第17条(監査)
1)特定個人情報監査責任者は、特定個人情報等を管理する責任部署その他各部署における特定個人情報等の取り扱いが、番号利用法、関連法令、マイナンバーガイドライン等国が定める指針その他の規範および本規程と合致していることを定期的に監査する。
2)特定個人情報監査責任者は、事務取扱責任者および事務取扱担当者以外の者から監査員を指名し、監査を指揮することができる。
3)特定個人情報監査責任者は、特定個人情報等の取り扱いに関する監査結果を代表取締役に報告するものとする。
第18条(取扱状況の確認並びに安全管理措置の見直し)
代表取締役は、監査結果に照らし、必要に応じて特定個人情報等の取り扱いに関する安全対策、諸施策を見直し、改善しなければならない。
第4章 物理的安全管理措置
第19条(特定個人情報等を取り扱う区域の管理)
特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」)および特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」)を明確にし、それぞれの区域に対し、次の措置を講じる。
1.管理区域
ICカード、ナンバーキー等による入退室管理システムの設置等により入退室管理を行うものとする。また、管理区域に持ち込む機器および電子媒体等の制限を行うものとする。
2.取扱区域
事務取扱担当者以外の者の往来が少ない場所や、取り扱いを後ろからのぞき見される可能性が低い場所への座席配置等、情報漏洩等事案を防止するための工夫を施すものとする。また、必要に応じて壁または間仕切り等を設置するものとする。
第20条(機器および電子媒体等の盗難等の防止)
管理区域および取扱区域における特定個人情報等を取り扱う機器、電子媒体および書類等の盗難または紛失等を防止するために、次の措置を講じる。
1.特定個人情報等を取り扱う機器、電子媒体、書類等は、施錠できるキャビネット・書庫等に保管する。
2.特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティーワイヤ等により固定する。
第21条(電子媒体等を持ち出す場合の漏洩等の防止)
1)特定個人情報等が記録された電子媒体または書類等の持ち出しは、次に掲げる場合を除き禁止する。なお、「持ち出し」とは特定個人情報等を、管理区域または取扱区域の外へ移動させることをいい、事業所内での移動等であっても持ち出しに該当するものとする。
1.第4条に定める個人番号を取り扱う事務に関して、行政機関等に対しデータまたは書類等を提出する場合
2.第4条に定める個人番号を取り扱う事務を委託する場合であって、事務を実施する上で必要と認められる範囲内で委託先に対しデータを提供する場合
2)第1項により、特定個人情報等が記録された電子媒体または書類等の持ち出しを行うときには、次の安全策を講じるものとする。ただし、提出方法に関して行政機関等による指定がある場合は、それに従う。
1.特定個人情報等が記録された電子媒体の持ち出しを行う場合
・持ち出しデータの暗号化、パスワードによる保護
・施錠できる搬送容器の使用
2.特定個人情報等が記録された書類等の持ち出しを行う場合
・封かん、目隠しシールの貼付
3)第1項による持ち出しを行う場合には、移送する特定個人情報等の特性に応じて、追跡可能な移送手段を利用する等、適切な方法を選択することとする。
第22条(個人番号の削除、機器および電子媒体等の廃棄)
1)第4条に定める個人番号を取り扱う事務を行う必要がなくなった場合で、所管法令等の法定保存期間を経過したときは、事務取扱担当者は速やかに次のいずれかの方法で個人番号を復元できないように削除または廃棄する。
1.特定個人情報等が記載された書類等を廃棄する場合
・復元不可能な程度に細断可能なシュレッダーの利用
・焼却または溶解
2.特定個人情報等が記録された機器および電子媒体を廃棄する場合
・専用のデータ削除ソフトウエアの利用
・物理的な破壊
2)事務取扱担当者は、特定個人情報ファイル中の個人番号または一部の特定個人情報等を削除する場合、容易に復元できない手段を用いるものとする。
3)特定個人情報等を取り扱う情報システムにおいては、関連する法定調書の法定保存期間経過後に個人番号を削除することを前提として、情報システムを構築するものとする。
4)個人番号が記載された書類等については、関連する法定調書の法定保存期間経過後に廃棄するものとする。
5)事務取扱担当者は、個人番号もしくは特定個人情報ファイルを削除した場合、または電子媒体等を廃棄した場合には、削除あるいは廃棄した記録を保存するものとする。また、これらの作業を委託する場合には、委託先が確実に削除または廃棄したことについて証明書等により確認するものとする。
第5章 技術的安全管理措置
第23条(アクセス制御)
特定個人情報等へのアクセスについて、次の通り制御する。
1.個人番号とひも付けてアクセスできる情報の範囲を、アクセス制御により限定する。
2.特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
3.ユーザーIDに付与するアクセス権限により、特定個人情報ファイルを取り扱う情報システムを使用できる者を、事務取扱責任者および事務取扱担当者に限定する。
第24条(アクセス者の識別と認証)
特定個人情報等を取り扱う情報システムは、ユーザーID・パスワード等により、事務取扱責任者、事務取扱担当者が正当なアクセス権限を有するものであることを識別した結果に基づき、認証するものとする。
第25条(外部からの不正アクセス等の防止)
情報システムを外部からの不正アクセスまたは不正ソフトウエアから保護するため、次の対策を講じ、適切に運用する。
1.情報システムと外部ネットワークとの接続箇所にファイアウオールを設置し、不正アクセスを遮断する。
2.情報システムおよび機器にセキュリティー対策ソフトウエア(ウイルス対策ソフトウエア等)を導入する。
3.導入したセキュリティー対策ソフトウエア等により、入出力データにおける不正ソフトウエアの有無を確認する。
4.機器やソフトウエア等に標準で備わっている自動更新機能等を活用し、ソフトウエア等を最新の状態にする。
5.ログ等の分析を定期的に行い、不正アクセス等を検知する。
第26条(情報漏洩等の防止)
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏洩等および情報システム内に保存されている特定個人情報等の情報漏洩等を防止するため、次の措置を講じる。
1.通信経路における情報漏洩等の防止
・通信経路の暗号化
2.情報システム内に保存されている特定個人情報等の情報漏洩等の防止
・データの暗号化またはパスワードによる保護
第6章 その他
第27条(罰則)
従業員等が故意または重大な過失により、本規程に違反した場合、就業規則または契約および法令に照らして処分を決定する。
第28条(改廃)
本規程の改廃は、取締役会において行うものとする。
附則
本規程は、○年○月○日より施行する。
以上(2022年11月)
(監修 有村総合法律事務所 弁護士 小出雄輝)
pj60089
画像:ESB Professional-shutterstock
