個人番号の送付まであまり時間がありませんが、事業者には、特定個人情報等の適正な取扱いの確保について、組織として取り組むための基本方針を策定することが求められます。
また、実際の取り組みを具体化するための取扱規程等を策定し、特定個人情報等を取り扱う体制の整備や情報システムの改修などを行う必要があります。
具体的には、次のような手順でマイナンバーの対応を行うこととなります。
事業者は、個人番号を取り扱う事務の範囲、特定個人情報等の範囲、事務取扱担当者を明確化し、特定個人情報等の適正な取扱いの確保について組織として取り組むための基本方針を策定する必要があります。
事業者は、個人番号を取り扱う事務の流れ等を整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定する必要があります。
取扱規程等には、各段階ごと(取得、利用、保存、提供、削除・廃棄の場面)における、特定個人情報の取扱方法や、責任者・事務取扱担当者、その任務の取扱いなどを定めます。
また、取扱規程には、組織体制、担当者の監督、区域管理、漏えい防止、アクセス制御など、安全管理措置を織り込むことが必要です。
特定個人情報等の安全管理措置が適切に講じられるよう、従業者に対する必要かつ適切な監督を行うことが必要です。
そのために、個人番号の取得対象となる全従業員への周知や、個人番号取扱事務を担う従業員への情報の安全管理に関する教育や業務トレーニングなどが必要になります。
特定個人情報等の安全管理措置が適切に講じられるよう、策定された取扱規程等にもとづき、特定個人情報等を取り扱う各段階において、関連する業務の流れを整理・見直しを行います。
具体的には、個人番号の取得・本人確認業務や、特定個人情報の保管・廃棄に係る業務、特定個人情報の委託先管理、法定調書等の提出業務などを中心に見直しを行います。
特定個人情報等の安全管理措置が適切に講じられるよう、策定された取扱規程等にもとづき、特定個人情報等に関連するシステムを整理、必要に応じて改修・見直しを行います。
具体的には、個人番号の収集システム、保管・照会システム、人事給与・支払調書システムなどを中心に調達・改修を検討するほか、セキュリティ対策やログ・アクセス制御、不正アクセス・漏えい対策などを整備します。
特定個人情報等の安全管理措置が適切に運用されるよう、特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組むことが必要です。
特定個人情報等の取扱状況について、定期的な自己点検や内部監査部門等による監査を実施できるよう、特定個人情報等を取り扱う組織体制、運用状況の確認手段、情報漏えい等事案の対応体制などの整備が必要になります。
個人番号の通知は2015年10月に行われます。
個人番号の通知時期にはマスメディアの報道や口コミでの広がりにより、顧客や株主からの問い合わせが頻繁に寄せられることが予測されます。
そのため各企業は遅くとも2015年10月までには準備を整え、各方面からの問い合わせに対応できる態勢を構築しなければなりません。
対応専用窓口などを設置して混乱を避けるべく工夫を施すことが必要になる可能性があります。
実際に発生する煩雑な事務業務を税理士や社労士に委託する、あるいはグループ企業内のサービス会社等で一括して実施することは可能です。
もちろんその際は、委託先に対する「必要かつ適切な監督を行う義務(法11条)」が課せられることはいうまでもありません。
委託の際は「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」にて契約内容に盛り込まなければならない事項が規定されており、確認が必要です。
残り3つの関係で、一般的にもっとも使用するケースが多くなるのは、従業員との関係においてでしょう。
従業員が会社を通して行政に提出する書類は「税務関連」と「社会・労働保険関連」に分類されますが、前者の主なものは源泉徴収票や支払調書で、経理部門が取り扱い部署となります。
後者は総務や人事が取り扱いますが、個人番号にかかわる業務は、全社員に関係する全社的な取り組みとなりますから、全社に周知し、総務部が全体をコントロールしながら、主導的な役割を果たしていくというのが一般的な体制になるでしょう。
次表で、企業における担当者の例を挙げました。
このように、総務、人事、経理、情報システム等の関連部署が勉強会を実施し、具体的な施策を分担して進めていくのが理想的です。
項目 |
総務 |
人事 |
経理 |
情報 システム |
監査 |
---|---|---|---|---|---|
業務の洗い出し |
○ |
◎ |
◎ |
||
規程の修正 |
◎ |
○ |
○ |
||
システム対応 |
◎ |
||||
委託契約修正 |
◎ |
||||
社員教育 |
◎ |
||||
内部監査対応 |
◎ |
実務的な対応としては、推進体制が決まったら、マイナンバー法に関連する書類を扱う部門がどこに当たるかなど、業務の洗い出しを行うことから始めます。
2015年10月の番号通知までには社員教育を終えておかなければなりませんので、まだ業務の洗い出しが終わっていない企業のみなさんは、今から早急に始めるべきでしょう。
また、洗い出しをすると、どのITシステムを改修しなければならないか等もおのずとわかってきますので、改修が必要なシステムに関しては早急に、対象システムの担当ベンダーと協議しながら具体的な検討を進める必要があります。
個人番号を取り扱う際は、既存の事務業務とは全く異なる作業が多く発生しますので、マイナンバー制度導入の新運用に則したマニュアルの整備が必須となります。
また、個人番号が付加される特定個人情報に関しては、取り扱い上の制限がこれまでの個人情報より格段に厳しくなるため、社内規程の見直しも必要になります。
これまでの業務フローを改変し、社内規程を整備し直し、新たな情報システムを構築するには相当の時間とコストがかかりますので、全社的な取り組みとして早急な対応をお取りくださいますよう、重ねてお願いいたします。