プライバシーマーク取得支援コンサルティング(Pマークコンサルタント) ISMS(ISO27001)コンサルティング 情報セキュリティ関連コンサルティング リンク ポリシー サイトマップ
ホーム企業情報採用情報よくある質問Pマーク、ISMS実績無料相談・お見積り
無料お見積り
お客様の声

マイナンバー制度における事業者の対応

Pマーク取得支援
コンサルティング
ISMS取得支援
コンサルティング
情報セキュリティ関連
コンサルティング
お問い合わせ Pマーク専用管理ツール Pマーク、ISMSの教育研修をeラーニングで簡単ログ管理ソフト リスクアセスメントソフト
Pマーク取得のメリット プライバシーマーク制度とは ISMSとPマークの違い 取得判断 ISO27001(ISMS)取得支援 Pマークお悩み相談 Pマークお悩み相談 JIS Q 15001:2006 Pマーク、ISMS実績 Pマーク関連用語集 マイナンバー制度 Pマークよくある質問 ISMS(ISO27001)よくある質問 Pマーク豆知識 Pマークコンサル会社の選び方 Pマーク、ISMS各県取得状況 ご相談・お問い合わせ コラム topix 会社概要 HOME  良く検索されるキーワード
お問い合わせ
プライバシーマークの認定取得は当社にお任せ下さい コンサルメニュー

Pマークコンサルタント:HOME > マイナンバー 事業者対応

 マイナンバー:マイナンバー制度における事業者の対応

Pマークとマイナンバーのイメージ 様々な局面でマイナンバーを利用

  マイナンバー制度の導入により事業者は平成28年1月以降、従業員のマイナンバーを様々な局面において利用します。その際、事業者はマイナンバーを適切に取り扱うための施策をガイドラインなどによって構築する必要があり、またPマークを取得している事業者はPMSの改良を実施しないと次回の更新審査で大きな不適合となってしまいます。マイナンバーの利用においては組織の規模や業務形態において様々です。マイナンバー制度対応の仕組みを構築する際、まずは自社が社員のマイナンバーをどの様な局面で利用するかを明確にします。次に、その局面に応じて適切な取り扱い方法をルール化する必要があります。その際に「マイナンバー取り扱いにおけるリスクを最小化する」方法を考える事が最も重要です。マイナンバー対策のコンサルティングはぜひスリープロポートにご相談ください。(マイナンバー専用eラーニングもご用意しています)


事業者が行う保護措置の実施手順

【ステップ1:事前準備】

 ■プロジェクト体制の整備
  ・事務取り扱い担当者を明確化(経理、人事、現場)しプロジェクトチームを作る・各担当の役割・責任を明確にする・緊急時(漏えい時)の体制を構築

 ■スケジュールの確認
  ・規定類の検討・策定・社員教育、周知の計画 ・システム改修(自社で構築を行っている場合)、フロアレイアウト検討 ・マイナンバー取得のタイミングを検討する

 ■収集対象者の把握と事前アナウンス
  ・従業者への住民票確認、通知カード保管、個人カード取得依頼実施 ・従業者以外の対象者がいるか、(税理士、社労士への報酬等)の確認

【ステップ2:特定個人情報を取り扱う事務の範囲の明確化】

 会社で行なう個人番号を使った事務を明確にする

 例)
 事務範囲は以下に掲げるものとする
 ・給与所得・退職所得の源泉徴収票作成
 ・健康保険・厚生年金関係届出
 ・国民年金第三号被保険者届出
 ・雇用保険関係届出
 ・報酬、料金、契約金および賞金の支払調書作成
 ・配当、剰余金の分配および基金利息の支払調書作成

【根拠法:ガイドライン】
 事業者は、個人番号関係事務又は個人番号利用事務の範囲を明確に しておかなければならない (ガイドラインP49)

【ステップ3:特定個人情報の範囲の明確化】

 「特定個人番号を取り扱う事務の範囲の明確化」で明確化した事務は個人番号とどのような個人情報をひも付けて利用・管理するか、明確にする。

 例)
 雇用保険関係届出
 ・個人番号  ・氏名  ・性別  ・生年月日  ・被保険者番号  ・資格取得年月日  ・賃金
 給与所得の源泉徴収票作成
 ・個人番号  ・氏名  ・性別  ・配偶者の個人番号  ・配偶者の氏名  ・扶養親族の個人番号  ・扶養親族の氏名

【根拠法:ガイドライン】
 事業者は、Aで明確にした事務において取り扱う特定個人情報等の範囲を明確 しておかなければならない (ガイドラインP49)

【ステップ4:事務取り扱い担当者の明確化】


 露理扱い事務の責任者を明確にする。取扱担当者の役割を明確にする。役割に応じて扱う特定個人情報を明確にする。

【根拠法:ガイドライン】
 事業者は、Aで明確にした事務に従事する事務取扱担当者を明確にしておかなければならない (ガイドラインP49)
 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければならない
 ・ 事務における責任者の設置及び責任の明確化
 ・ 事務取扱担当者の明確化及びその役割の明確化
 ・ 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化 (ガイドラインP51、52) 
 
【ステップ5:基本方針の策定】

 特定個人情報取り扱い基本方針を定める。基本方針に盛り込むべき事項は以下になる。
 1.事業者の名称  
 2.関係法令・ガイドライン等の遵守
 3.安全管理措置に関する事項
 4.質問及び苦情処理の窓口

【根拠法:ガイドライン】
 特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である (ガイドラインP49)

【ステップ6:取扱規程等の策定】

 特定個人情報取り扱い規程作成する。作成においては以下に留意する。
 @ 個人番号・特定個人情報を扱う事務を明確にし、それぞれの事務処理において取得、利用、保存、提供、削除・廃棄の各局面毎に方法、責任者、事務担当者、事務処理を具体化し、ルールを定める 。
 A 安全管理のための組織体制、特定個人情報管理責任者、取扱責任者、事務担当者、取扱う特定個人情報の範囲、事件・事故時の連絡体制、教育責任者等の役割・責任を定める。特定個人情報管理台帳(特定個人情報ファイルの名称、件数、内容、責任者、利用目的、削除・廃棄方法等を管理する台帳)を整備することを定める。事件・事故時の対応を定める。 内部監査について定める。教育、守秘義務誓約書等の人的管理について定める。特定個人情報を取扱う領域の入退出管理について定める。機器・媒体の管理、保守、保管、バックアップ、アクセス権、廃棄等について定める。スマートフォン・タブレットの取扱について定める。

【根拠法:ガイドライン】
 事業者は、A〜Cで明確化した事務における特定個人情報等の適正な取扱いを確保するために、 取扱規程等を策定しなければならない ※ A 個人番号を取り扱う事務の範囲の明確化、B 特定個人情報等の範囲の明確化、C 事務取扱担当者の明確化 (ガイドラインP49)

 ■ 個人番号を取得する対象者を決定する
 ・従業員、契約社員、パート社員、アルバイト社員等

 ■ 個人番号を取得する者を決定する
 ・総務・人事担当者・経理担当者等、会社として取得する者を「取扱担当者」とする。

 ■ 取得する方法を具体化する
 ・特定個人情報の利用目的を明示する(公表も可)。
 ・本人から「通知カード」又は「個人番号カード」を提示してもらう。
 ・扶養家族の個人番号は社員本人が提示。
 ・書面で本人から直接、氏名、個人番号、扶養家族氏名、扶養家族個人番号を取得する。
 ・メールで本人から扶養家族も含めて連絡してもらう。
 ・取りまとめ者(例えば部門長)経由で取得する場合は、部門長「個人番号関係事務取扱担当者」になる。

 ■ 取得した個人番号をどのように取りまとめるか、具体化する
 ・ 書面は鍵付きキャビネットへ保管
 ・電子データはサーバへ保管、アクセス権を付ける

 ■ 個人番号を入力する情報システムの明確化
 ・人事給与システム、会計情報システム XXXX奉行システム

 ■ 入力者の明確化
 ・総務部門担当者、人事部門担当者、経理部門担当者
 ・入力時チェック方法を明確にする  

 ■ 個人番号が付いて出力する帳票、情報システムを明確にする
 ・源泉徴収票、厚生年金保険被保険者資格取得届、など
 ・人事給与システム、会計情報システム など

 ■出力された帳票をどのように、行政機関等へ送付するか明確にする
 ・紙で直接手渡し
 ・紙で郵送
 ・電子データとしてネットワーク経由で送付
 ・電子媒体で手渡し・・・など

 ■本人への交付方法を明確にする
 ・本人へ社内メール便で交付
 ・本人へ手渡し

 ■ 紙の帳票の保管方法を明確にする
 ・鍵付きキャビネットへ保管する
 ・鍵は取扱担当者のみ使用可とする

 ■ 電子データの保管方法を明確にする
 ・電子媒体は鍵付きキャビネットへ保管し、鍵管理責任は管理者が行う
 ・サーバに保管されたデータは「特定個人情報ファイル」としてアクセス管理する、アクセス可能者は取扱担当者のみとする。

 ■ 特定個人情報を取り扱う業務を委託している場合
 ・委託先の監督方法を明確にする。再委託の有無についても明確し、監督を行う。

 ■ 紙、電子データの廃棄、削除についても明確にする
 ・紙の廃棄手順 電子データの媒体、PC、サーバ、タブレット等のデータ削除・消去  方法を明確にする

 ■ 情報システムの管理手順も明確にする
 ・人事給与システム、会計情報システム等のアクセス権の管理  方法、管理者、ウイルス対策、バックアップ等を明確にする

 ■ 安全管理措置策定のポイント
 【特定個人情報の漏えいリスク】
 個人番号はよほどの理由がないと(漏れ、実被害が出たなど)変更できない。そのため、悪意のある者のところに蓄積されるとその影響は長い期間続く可能性がある。したがって、事業者は漏えい等が発生しないよう安全管理措置を講じる必要がある。
 自社の実情にあった有効的な安全管理措置を講じるには、取得〜廃棄までの局面で生じるリスクを正確に把握し、そのリスクを低減、もしくは無くすような対策を講じ、それを安全管理措置としてルール化し文書化する。

 ■ リスクと対策の事例
 【個人番号を書面で取得】

  リスク:本人から手渡された書面を机上に放置して紛失
  対策:机上には放置しないようクリアデスクの方針を徹底する 。

 【書面で取得した個人番号を保管】
  リスク:鍵のないキャビネットに保管してアクセス権のない者に見られる
  対策:鍵付きキャビネットに保管し、鍵は取扱担当者のみ使用できないようにする

 【サーバに特定個人情報ファイルを保管する】
  リスク:取扱担当者以外の者にアクセスされ、見られる
  対策:取扱担当者のみにアクセス権を付与する

  リスク:ウイルスに感染して特定個人情報ファイルが漏えいする
  対策:ウイルス対策ソフトを導入する、不審なメールを開けない、インターネットから許可なくアプリケーションをダウンロードしない

【ステップ7:運用】


 運用において、担当者は規定に基づき従業者の監督をすると同時に自身と従業者に対しての教育を行う事。

【根拠法:ガイドライン】
 特定個人情報等の安全管理措置が適切に講じられるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(ガイドラインP22)
 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければならない。 事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。 
(ガイドラインP54)

【Pマーク付与事業者の対応 】

 Pマーク付与事業者は既存の基本規程(個人情報保護マニュアル)及び様式類について以下の修正(赤字追加)が必要となる。

 ■ 基本規定(個人情報保護マニュアル)について

 3.3.4 資源、役割、責任及び権限
 1 責 務
 ・・・・  G特定個人情報取扱担当者
 特定個人情報の取り扱いに関する事務処理実施者
 (※特定個人情報は当該者のみ事務利用でき、利用の際は番号法第9条に定める利用範囲に限定される)
 

 3.4.2.1 利用目的の特定
 当社は、個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行う。個人番号及び特定個人情報については、利用目的は、番号法で定められる税、社会保障、災害対策にかかわるものに制限され、それ以外の目的で取得しない。

 3.4.2.4 本人から直接書面によって取得する場合の措置
 当社は本人から、書面(電子的方式、磁気的方式を含む)に記載された個人情報を直接取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって明示し、本人の同意を得なければならない。また、個人番号及び特定個人情報を取得する場合、番号法第16条に基づき本人確認を行わなければならない。

 3.4.2.5個人情報を3.4.2.4(直接書面)以外の方法によって取得した場合の措置   個人情報を3.4.2.4以外の方法(直接書面以外の方法)によって取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、又は公表しなければならない。また、個人番号及び特定個人情報を取得する場合、番号法第16条に基づき本人確認を行わなければならない。

 3.4.2.6 利用に関する措置
 当社は、特定した利用目的の達成に必要な範囲内で個人情報を利用する。個人番号及び特定個人情報の利用範囲は番号法第9条に示す範囲に限定される。

【Pマーク付与事業者の対応(様式類)】

 ■「PMS推進体制図」

 特定個人情報取扱担当者を追加し、名前を明記する

 ■ 「個人情報管理台帳」及び「個人情報抽出シート」

 「個人情報管理台帳」の中に特定個人情報がある場合、「個人情報の内容」欄に個人番号を追記、「責任者」欄に特定個人情報取扱担当者名を記入。 「個人情報抽出シート」も同様に、特定個人情報がある場合「情報の種類」欄に個人番号を追記

 ■「リスク対策表」

 特定個人情報については、リスクの検討・対策について再度見直す

 ■「法令及びその他の規範一覧」

 「行政手続における特定の個人を識別するための番号の利用等に関する法律」、「特定個人情報の適正な取扱いに関するガイドライン」(事業者編)

 ■「機密保持契約書」
 以下の項目が盛り込まれているか再確認する
 @秘密保持  A事務所内からの持ち出し禁止  B目的外利用の禁止  C再委託における条件(委託元の承諾が必要)  D漏えい等事故時の委託先の責任  E委託終了後の返却・廃棄  F従業者への教育、監督  G遵守状況について報告すること等

ストレスチェック制度の対応

 ストレスチェック制度とは、働く人たちに対し心理的な負担の程度を確かめる検査とその結果に応じた面接指導などの対応を行う制度のことです。2014年6月の労働安全衛生法の改正により、従業員50人以上の事業所(※)を対象に、15年12月から毎年一回実施する事が義務付けられました。
 ストレスチェック制度における個人情報は従業者の機微な情報であり(プライバシー)、規定を整備すると同時に個人情報の取り扱いについてもガイドラインやPマーク制度に準拠するように組織は十分な対策を取る必要があります。当然、50人以上の企業においては、Pマーク更新時の重大なチェック事項となります。

※ 契約期間が1年未満の労働者や、労働時間が通常の労働者の所定労時間の4分の3未満の短時間労働者は義務の対象外

【プライバシーの保護】(厚生労働省)

 ● 事業者がストレスチェック制度に関する労働者の秘密を不正に入手するようなことがあってはなりません。
 ● ストレスチェックや面接指導で個人の情報を取り扱った者(実施者とその補助をする実施事務従事者)には、法律で守秘義務が課され、違反した場合は刑罰の対象となります。
 ● 事業者に提供されたストレスチェック結果や面接指導結果などの個人情報は、適切に管理し、社内で共有する場合にも、必要最小限の範囲にとどめましょう。

 スリープロサポートではマイナンバー制度(社員教育用マイナンバー専用eラーニングの単体の契約も可能です)、ストレスチェックに関する個別のコンサルティングも実施しています。お気軽にご相談ください。

特定個人情報保護評価(PIA)コンサルティングサポートはスリープロサポートへ


TPSのプログラムメニュー1 完全サポート テンプレート リクエスト TPSのプログラムメニュー2 マネジメント再構築 メンテナンス セミナー・講習 更新対応 TPSでのPマーク取得は TPSのISMS取得は

  スタッフ紹介

経験豊富な営業、実績豊富なコンサルタントが貴社のPマーク、ISMS構築を強力にバックアップいたします。

 コンサルメニュー

様々なコンサルティングメユーより、貴社のニーズを満足させた、最適なプログラムを提供させていただきます。

 リーズナブルな価格

価格はご相談ください。ご予算の範囲内で収めるような、納得のいく低価格を実現しました。



HOME  特定個人情報保護評価(PIA) 社会頬章・税番号制度とは  マイナンバー関連資料  自治体の特定個人情報保護評価 

無料相談受付中
福岡、東京、大阪支店
東京本社
〒102-0072
東京都千代田区飯田橋4-4-8
東京中央ビル 5F
TEL 03-3263-4521
FAX 03-3263-4522


大阪オフィス
〒540-0012
大阪府大阪市中央区谷町3-4-5
中央谷町ビル 7F
TEL 06-6949-0550
FAX 06-6949-0551



福岡オフィス
〒812-0023
福岡県福岡市博多区奈良屋町14-20
ベスト大博ビル7F
TEL 092-403-5900
FAX 092-403-5901




スリープロサポート株式会社
サテライトコンサルタント 
北海道、仙台、神奈川、千葉、名古屋、京都、徳島、兵庫、広島、山口、熊本、佐賀、宮崎、長崎