【安全管理措置の基本的な考え方】
マイナンバー制度では、事業者は、マイナンバーを取り扱う際は、その漏えい、滅失、き損を防止するなど、マイナンバーの適切な管理のために必要な措置(安全管理措置)を講じなければならないとされています。
安全管理措置の検討にあたっては、ガイドラインに沿って、次のような手順で行う必要があります。
Aマイナンバーを取り扱う事務の範囲の明確化
B 特定個人情報等の範囲の明確化
C 特定個人情報を取り扱う「事務取扱担当者」の明確化
D 特定個人情報等の安全管理措置に関する基本方針の策定
E 取扱規程等の策定
【取扱事務、情報等の範囲の明確化】
マイナンバーを取り扱う事務とは、具体的には、事業者が法令に基づいて、従業員などのマイナンバーを用いて給与所得の源泉徴収票や支払調書、雇用保険や健康保険・厚生年金保険関係の届出書類の作成、提出などを行う事務をいいます。
したがって、マイナンバーを取り扱う事務は、「源泉徴収票作成事務」、「健康保険・厚生年金保険届出事務のように特定することで明確になります。
また、事業者は、明確化した事務において取り扱う特定個人情報などの範囲を明確にしておかなければなりません。具体的には、事務において使用されるマイナンバーのほか、マイナンバーと関連づけて管理される個人情報(氏名、生年月日など)の範囲を明確にします。
さらに、安全管理のためには、マイナンバーを取り扱う事務を誰が行うのかを明確にしておく必要があります。したがって、事務担当者のほか、責任者を指名して任務にあたらせることが重要です。
【基本方針、取扱規程等の策定】
ガイドラインでは、事業者は、このようにして明確化された事務や特定個人情報などの具体的な取扱いを定める取扱規程等を策定しなければならないとしています。規程には、特定個人情報などの取得、利用、保存、提供、削除・廃棄の段階ごとに、その具体的な取扱方法や責任者および事務取扱担当者などについて定めることが考えられます。
なお、中小規模事業者(従業員数が100人以下)については、事務で取り扱うマイナンバーの数が少なく、また、事務を取り扱う従業者が限定的であることなどから、取扱規程等の策定に代わる特例的な対応方法も認められています。具体的には、取扱事務や情報の範囲および取扱担当者を明確にしたうえで、事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認することなどが示されています。
また、マイナンバーの適切な取扱いの確保に組織として取り組むためには、基本方針を策定することが重要であるとされています。基本方針には、関係法令およびガイドラインの遵守、安全管理措置に関する基本的な事項、質問および苦情処理の窓口などを定めることが望ましいとされています。