江東区、中央区、墨田区、千代田区、江戸川区、港区、葛飾区、新宿区など東京都内・23区で、労務管理の相談、就業規則の作成・変更・見直し、助成金申請ならお気軽にどうぞ!
「働き方改革・就業規則作成・助成金」お気軽にご相談下さい!
〒135-0016
東京都江東区東陽3-23-26 東陽町コーポラス3階
受付時間:9:00~18:00(土日・祝日を除く)
お問い合わせフォームでは24時間受け付けております。
お気軽にお問合せください
03-5653-7330
~マイナンバー制度に関するよくあるご質問です~
マイナンバーよくある質問と回答②
マイナンバー制度に関してよくあるご質問と回答を掲載致します。
ここでは、マイナンバー制度に関してよくあるご質問をご紹介します。
「出典:特定個人情報保護委員会HP ガイドラインQ&Aをもとに、社会保険労務士井上徹事務所が加工して作成」
10.安全管理措置の検討手順
Question10-1
「事務取扱担当者の明確化」は、役割や所属等による明確化のように個人名による明確化でなくてもよいですか。
Answer10-1
部署名(○○課、○○係等)、事務名(○○事務担当者)等により、担当者が明確になれば十分であると考えられます。ただし、部署名等により事務取扱担当者の範囲が明確化できない場合には、事務取扱担当者を指名する等を行う必要があると考えられます。
Question10-2
事務取扱担当者には、特定個人情報等を取り扱う事務に従事する全ての者が該当しますか。
Answer10-2
事務取扱担当者は、一般的には、個人番号の取得から廃棄までの事務に従事する全ての者が該当すると考えられます。
ただし、事務取扱担当者に該当するか否かを判断することも重要ですが、当該事務のリスクを適切に検討し、必要かつ適切な安全管理措置を講ずることが重要です。例えば、担う役割に応じて、定期的に発生する事務や中心となる事務を担当する者に対して講ずる安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対して講ずる安全管理措置とが異なってくることは十分に考えられます。
なお、社内管理上、定期的に発生する事務や中心となる事務を担当する者のみを事務取扱担当者と位置付けることも考えられますが、特定個人情報等の取扱いに関わる事務フロー全体として漏れのない必要かつ適切な安全管理措置を講じていただくことが重要です
11.講ずべき安全管理措置の内容
Question11-1
「中小規模事業者」の定義における従業員には誰を含みますか。また、いつの従業員の数ですか。
Answer11-1
従業員とは、中小企業基本法における従業員をいい、労働基準法第20条の規定により解雇の予告を必要とする労働者と解されます。なお、同法第21条の規定により第20条の適用が除外されている者は従業員から除かれます。具体的には、日々雇い入れられる者、2か月以内の期間を定めて使用される者等が除かれます。
中小規模事業者の判定における従業員の数は、事業年度末(事業年度が無い場合には年末等)の従業員の数で判定し、毎年同時期に見直しを行う必要があります。
Question11-2
中小規模事業者でない事業者が、中小規模事業者に業務を委託する場合、当該中小規模事業者には【中小規模事業者における対応方法】を遵守させることになるのですか。
Answer11-2
委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者は、中小規模事業者に該当しません。委託先における安全管理措置については、委託する事務の内容等に応じて、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行う必要があります。
Question11-3
標的型メール攻撃等による特定個人情報の漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいですか。
Answer11-3
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し適切に運用する等のガイドラインの遵守に加え、次のような安全管理措置を講ずることが考えられます。
・ 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。
・ 特定個人情報ファイルを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿する(データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮する。)。
・ 情報漏えい等の事案の発生又は兆候を把握した場合の迅速な情報連絡体制についての確認・訓練を行う。
また、独立行政法人情報処理推進機構(IPA)等がホームページで公表しているセキュリティ対策等を参考にすることも考えられます
12.基本方針の策定
Question12-1
既に個人情報の取扱いに係る基本方針を策定している場合、新たに特定個人情報等に係る基本方針を策定する必要がありますか。それとも、既存の個人情報の取扱いに係る基本方針の一部改正で十分ですか。
Answer12-1
特定個人情報等の取扱いに係る基本方針は、既存の個人情報の取扱いに関する基本方針(個人情報保護方針等)を改正する方法又は別に策定する方法いずれでも差し支えありません。
Question12-2
基本方針を公表する必要がありますか。
Answer12-2
基本方針の公表を義務付けるものではありません。
13.取扱規程等の策定
Question13-1
新たに特定個人情報の保護に係る取扱規程等を作成するのではなく、既存の個人情報の保護に係る取扱規定等を見直し、特定個人情報の取扱いを追記する形でもよいですか。
Answer13-1
既存の個人情報の保護に係る取扱規程等がある場合には、特定個人情報の取扱いを追記することも可能と考えられます。
Question13-2
中小規模事業者も取扱規程等を策定しなければなりませんか。
Answer13-2
中小規模事業者においては、必ずしも取扱規程等の策定が義務付けられているものではなく、特定個人情報等の取扱方法や責任者・事務取扱担当者が明確になっていれば足りるものと考えられます。明確化の方法については、口頭で明確化する方法のほか、業務マニュアル、業務フロー図、チェックリスト等に特定個人情報等の取扱いを加えるなどの方法も考えられます。
14.組織的安全管理措置
Question14-1
「取扱規程等に基づく運用」におけるシステムログ又は利用実績の記録の項目及び保存期限は、どのように考えることが適切ですか。
Answer14-1
記録を保存することは、取扱規程等に基づく確実な事務の実施、情報漏えい等の事案発生の抑止、点検・監査及び情報漏えい等の事案に対処するための有効な手段です。記録として保存する内容及び保存期間は、システムで取り扱う情報の種類、量、システムを取り扱う職員の数、点検・監査の頻度等を総合的に勘案し、適切に定めることが重要であると考えます。
Question14-2 
「取扱規程等に基づく運用」及び「取扱状況を確認する手段の整備」の【中小規模事業者における対応方法】における「取扱状況の分かる記録を保存する」とは、どのように考えることが適切ですか。
Answer14-2
・業務日誌等において、例えば、特定個人情報等の入手・廃棄、源泉徴収票の作成日、税務署への提出日等の、特定個人情報等の取扱い状況を記録する。
・取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。
(平成27年10月更新)
Question14-3
「取扱状況の把握及び安全管理措置の見直し」における「外部の主体による他の監査活動と合わせて、監査を実施することも考えられる。」とは、具体的にどのようなことですか。
Answer14-3
例えば、個人情報保護又は情報セキュリティに関する外部監査等を行う際に、特定個人情報等の保護に関する監査を合わせて行うこと等が考えられます。
15.物理的安全管理措置
Question15-1
「特定個人情報等を取り扱う区域の管理」における「座席配置の工夫」とは、具体的にどのような手段が考えられますか。
Answer15-1
例えば、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等が考えられます。
Question15-1-2
事務取扱担当者が、顧客先等から特定個人情報等を持ち帰る場合に留意すべき事項はありますか。
Answer15-1-2
特定個人情報等を持ち帰る場合についても、当然に漏えい等を防止するために物理的安全管理措置を講ずる必要があります。
Question15-1-3
「特定個人情報等を取り扱う区域の管理」における「管理区域」及び「取扱区域」を明確にし物理的な安全管理措置を講ずるに当たって、区域ごとに全て同じ安全管理措置を講ずる必要があるのでしょうか。
Answer15-1-3
各区域で同じ安全管理措置を講ずる必要はなく、区域によっては取り扱う特定個人情報の量、利用頻度、使用する事務機器や環境等により、講ずべき物理的安全管理措置が異なると考えられますので、例えば、管理区域については厳格に入退室を管理し、取扱区域については間仕切りの設置や座席配置の工夫を行うなど、それぞれの区域に応じた適切な安全管理措置を講じていただくことになります。
Question15-1-4
「特定個人情報等を取り扱う区域の管理」及び「機器及び電子媒体等の盗難等の防止」について、従業員数人程度の事業者における手法の例示を教えてください。
Answer15-1-4
一つの事務室で事務を行っている場合を想定すると、例えば、来客スペースから特定個人情報等に係る書類やパソコンの画面が見えないよう各種の工夫をすることが考えられます。盗難防止については、留守にする際には確実にドアに施錠をする、特定個人情報等を取り扱う機器、電子媒体や個人番号が記載された書類等は、施錠できるキャビネット、引出等に収納し、使用しないときには施錠しておくなど盗まれないように保管することは、他の重要な書類等と同様です
Question15-2
「個人番号の削除、機器及び電子媒体等の廃棄」における「容易に復元できない手段」とは、具体的にどのような手段が考えられますか。
Answer15-2
データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない場合には、容易に復元できない方法と考えられます。
Question15-3
「個人番号の削除、機器及び電子媒体等の廃棄」における書類等の廃棄に係る復元不可能な手段として焼却又は溶解が挙げられていますが、他の手段は認められますか。
Answer15-3
例えば、復元不可能な程度に細断可能なシュレッダーの利用又は個人番号部分を復元できない程度にマスキングすること等が考えられます。
外部リンク:各行政機関掲載のFAQはこちらからご確認頂けます。
お問合せはこちら
無料相談・お問合せはこちら
お気軽にご連絡下さい!
無料相談はこちらから♪
クラウドサービス
当事務所代表のブログ
●社会保険労務士
井上徹事務所●
電話番号
03-5653-7330
住所
〒135-0016
東京都江東区東陽3-23-26
東陽町コーポラス3階
東京メトロ東西線 東陽町駅
1番出口より徒歩4 分
受付時間
平日9:00~18:00
対応エリア
東京都内・23区
千葉・埼玉・神奈川
※その他地域もお気軽にご相談下さい。
My komon専用ページ
顧問先様専用ページ
▲顧問先様はこちらから
My Komonデモ画面
▲デモ版の利用はこちら
My Komon詳細はこちら
外部リンク
SNS