教えて！業務の達人｜第3回　マイナンバー制度と特定個人情報｜製造・流通・通信業向けビジネスナレッジ BELINDA（ベリンダ）

特集・コラム

教えて！業務の達人　連載目次

第5回　TPP/FTAが変える企業のグローバル戦略
（その1）TPPやFTAとは何なのか

第6回　TPP/FTAが変える企業のグローバル戦略
（その2）TPP/FTA適用による競争力強化

第7回　TPP/FTAが変える企業のグローバル戦略
（その3）TPP/FTA時代のサプライチェーン革新

※本コンテンツは、以下資料を基に制作しています。
　・「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」　特定個人情報保護委員会
　・「IT-Report 2014 Winter」　一般財団法人日本情報経済社会推進協会

すべての企業が行うべきこと

2016年1月から、社会保障・税番号制度（マイナンバー制度）の運用が開始される予定です。すべての民間企業は、制度開始までの残りわずかな期間で、マイナンバーの収集から保管、利用、廃棄までのルールと運用体制を整えなければならず、早期の準備対応が求められます。今回の制度は、社会保障と税を中心に導入されますが、企業としては、特に“雇用関係”と“情報管理”において業務上の影響が大きいと言えます。

■民間企業の実務への影響と対応

制度対応が必要な業務

企業がマイナンバーに対応していくためには、人事や経理を担当する総務部門が中心となって推進していくことが望ましいと考えます。従業員の所得税の源泉徴収、住民税の特別徴収、社会保険料の支払などを行う人事部門、税務署の提出する法定調書を準備する経理部門などの作業が主なものとなると想定され、支払調書関係で個人の取引先が多い場合には、営業部門の協力が必要になる場合もあります。

また、これら関連書類に従業員等の個人番号を記載する必要があることから従業者等のプライバシー権利保護に十分配慮しなければなりません。当然、これらの業務に関係する情報システム部門もシステム改修などの対応作業が必要になってきます。

■民間企業における個人番号の利用例

■個人番号の記載が必要とされる書類の例

制度施行までのロードマップ

マイナンバー制度は2016年1月から利用開始です。利用開始までの企業対応ロードマップは以下のようなものになります。

2016年1月から番号カードが交付されて、従業員および扶養家族のマイナンバー収集・本人確認・登録が始まるので、人事・総務部門の事務負荷増大が想定されます。余裕のある準備・運用作業の計画策定が必要になります。

制度対応に向けた業務面、情報システム面の主な作業は次のようなものになります。

（1）マイナンバー制度対応の準備（番号制度の理解、体制整備等）
（2）番号対応が必要な業務・情報システムの洗い出し
（3）対象となる業務・情報システムの対応策検討
（4）業務のプロセス、規則の見直し
（5）情報システムの改修とテスト
（6）マニュアル作成と従業員教育・周知

■マイナンバー制度対応のロードマップ

特定個人情報とは

マイナンバー（個人番号）を含む個人情報は、『特定個人情報』と位置づけられています。
『特定個人情報』も個人情報の一部なので、原則として「個人情報保護法」が適用されます。さらに『特定個人情報』は、マイナンバーによって名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を「番号法」 ^＊で上乗せしています。また、「番号法の保護措置」は、個人情報保護法が適用されない小規模な事業者にも適用されます。

＊番号法：行政手続における特定の個人を識別するための番号の利用等に関する法律

■特定個人情報の厳格な情報管理

特定個人情報の保護措置

助手犬

番号法は、個人情報保護法よりも厳格な保護措置を求めています。

個人番号は、社会保障、税及び災害対策の分野において、個人情報を複数の機関の間で紐付けるものであり、住民票を有する全ての者に、一人一番号で重複のないように、住民票コードを変換して得られる番号です。したがって、個人番号が悪用され、又は漏えいした場合、個人情報の不正な追跡・突合が行われ、個人の権利利益の侵害を招きかねません。

そこで、番号法においては、特定個人情報について、“個人情報保護法よりも厳格な各種の保護措置”を設けています。この保護措置は、「特定個人情報の利用制限」、「特定個人情報の安全管理措置等」及び「特定個人情報の提供制限等」の三つに大別されます。

■特定個人情報の保護措置

3つの保護措置

助手犬

番号法では、個人番号の漏えいや悪用などのリスクから特定個人情報を守るため、個人番号の利用範囲や提供を制限するなど、特定個人情報の取扱いについて厳しい保護措置を定めています。保護措置は、以下の3つがあります。

■利用制限
■安全管理措置等
■提供制限等

■特定個人情報3つの保護措置

適切な経営管理と罰則

下記の図は、内閣官房が公開したマイナンバー制度における「個人情報保護の仕組み」です。

マイナンバー制度では、特定個人情報の保護措置が適切に運用されているかを監視・監督する機関『特定個人情報保護委員会』という専門組織が作られました。この委員会は、他の省庁等から独立した特別の組織になっています。

企業が、特定個人情報の適正な取扱いを確保するためには、経営者自らが特定個人情報に対する保護措置の重要性について十分な認識を持って適切な経営管理を行うことが重要です。制度対応が不十分で、情報漏洩や不正利用等がなされた場合には、その行為者のみならず、所属組織に対しても罰則の対象になる可能性があります。

達人と助手犬

■番号法における個人情報保護の仕組み

情報の安全管理

特定個人情報は、安全管理に関する義務が発生します。講ずべき安全管理措置としては、次の4つがあります。
各安全管理措置の詳細は、ガイドライン（別添） ^＊を参照してください。

（1）組織的安全管理措置…組織体制整備、取扱規定、取扱状況の確認等についての措置

（2）人的安全管理措置…事務取扱担当者の監督と教育についての措置

（3）物理的安全管理措置…情報取扱区域管理、機器・媒体の盗難防止、持ち出し管理等についての措置

（4）技術的安全管理措置…アクセス制御、アクセス者の識別と認証、情報漏洩防止、不正アクセス防止等についての措置

達人と助手犬

尚、「中小規模事業者」が、このような安全管理措置を大企業と同じように行うことは大きな負担になります。そのため、本ガイドラインでは、「中小規模事業者」においての特例的な対応方法が示されています。

＊ガイドライン（別添）：特定個人情報の適正な取扱いに関するガイドライン（事業者編）の（別添）特定個人情報に関する安全管理措置　平成26年12月11日　特定個人情報保護委員会

■4つの安全管理措置

プライバシー保護とPIA

番号法では、地方自治体に対して、「特定個人情報保護評価（番号法PIA） ^＊」への対応が義務付けられています。

達人と助手犬

一般的に、プライバシー影響評価（PIA）は、プライバシーに関する問題とリスクを特定し、軽減するための重要な管理ツールとして効果的であると言われています。

民間企業に、「特定個人情報保護評価（番号法PIA）」の義務付けはありません。しかし、昨今では、ソーシャルメディアの普及に伴い、位置情報や購買履歴情報を集約してビッグデータビジネスに活用するなど、民間企業において大量の個人情報を取り扱う機会が増えてきています。プライバシー権利保護の観点から、民間企業においても今後PIA実施が推奨されます。

＊「特定個人情報保護評価」は、諸外国で採用されているプライバシー影響評価「PIA」（Privacy Impact Assessment）に相当するものであり、番号法PIAと呼ばれる。

■PIAの概要