従業員100人未満の会社がマイナンバー基本方針と取扱規程に盛り込むべき事項

従業員１００人未満の会社は、基本方針と取扱規程を整備する必要はありませんが、何も書類がないとなると必要かつ適切に管理していなかったと事実上推認されて賠償リスクが高まります。したがって、会社の規模を問わずに基本方針や取扱規程を整備するほうがよいでしょう。

(1) 基本方針の規定事項

①事業者の名称、②関係法令・ガイドラインの順守、③安全管理措置、④質問および苦情処理窓口など。

(2) 取扱規程の規定事項

各段階（取得、利用、保存、提供、廃棄）ごとの取扱方法、責任者・事務担当者及び任務の概要及び安全管理措置（組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の４点からの措置）を規定する必要があります。

例えば、源泉徴収事務については、従業員から提出された書類のとりまとめ方法、取りまとめた書類の源泉徴収票作成部署への移動方法、情報システムへの入力方法、源泉徴収票の作成方法、源泉徴収票の行政機関への提出方法、本人への交付方法、控えの保管方法、法定保存期間経過後の控え等の廃棄方法を規定する必要があるとされています。

組織的安全管理措置

①組織体制の整備（責任者、事務担当者の明確化、役割・責任の明確化、取扱う特定個人情報の範囲の明確化、規定違反や情報漏えいの発生・兆候を把握した場合の報告連絡体制、特定個人情報を複数の部署で扱う場合の任務分担と責任の明確化）、②取扱規程に基づく運用（特定個人情報ファイルの利用・出力状況、書類・媒体の持ち出し、廃棄のログの取得・管理、事務担当者の特定個人情報の慣例情報システムの利用状況にかかるアクセスログの管理）、③取扱状況の確認する手段の整備（特定個人情報ファイルの種類、名称、責任者、取扱部署、利用目的、アクセス権保有者、削除廃棄状況）、④情報漏えい事案の体制整備（事実関係の調査・原因究明、本人への連絡、委員会・主務大臣への報告、再発防止策の検討・決定、事実関係公表（他に謝罪、再発防止策、関係者処分））、⑤定期的な安全管理措置の見直しが必要であり、

人的安全管理措置

①事務担当者の監督（規程に従い処理しているか監督する）、②事務担当者の教育（定期的研修、就業規則などに秘密保持事項を盛り込む）があります。

物的安全管理外

①特定個人情報を取り扱う区域の管理（入退室管理や持込み機器の制限、壁・間仕切り等で関係者以外がのぞき見れないようにするなど）、②機器・電子媒体の盗難防止（機器・電子媒体を施錠できる書庫に保管、機器にセキュリティワイヤーで固定）、③電子媒体を持ち出す際の漏えい防止（データの暗号化、パスワードのよる保護、書類の場合は封緘するなど）、④個人番号の削除や機器・電子媒体の廃棄（復元できないように専用ソフトを使用して削除、削除を委託する場合には証明書を提出させる）があります。

技術的安全管理措置

①アクセス制御（個人マイナンバーと紐づけてアクセスできる情報の制御、特定個人情報ファイルを使用できる者を事務担当者に限定）、②アクセス者の識別と認証（ユーザーＩＤ、パスワード、指紋認証など）、③外部からの不正アクセスの防止（アンチウィルスソフトの導入、外部ネットワークとの接続箇所にファイアウォール等設置、スタンドアローンにするなど）、④情報漏えい等の防止（データの暗号化、パスワードによるファイルの保護）が必要となります。

　(3) 業務委託の管理

ア　委託先の適切な選定

委託先の設備、技術水準、従業員への監督・教育状況、経営環境を確認したうえで選定する必要があります。

イ　委託先に安全管理措置を順守させるために必要な契約の締結

秘密保持義務、特定個人情報持ち出し・目的外利用の禁止、再委託の条件、漏えい事案発生時の委託先の責任、契約終了後の特定個人情報の返還・廃棄、従業員への教育監督、契約内容の順守状況の報告規定が必要です。また、規定が望ましいものとして、特定個人情報取扱従業者の明確化と委託者が受託者に実地調査を行うことができる旨の規定があります。

ウ　委託先における特定個人情報の取扱状況の把握

このコラムを書いた弁護士

弁護士　橘高和芳（きったか かずよし）

大阪弁護士会所属 52期／登録番号：27404
近畿税理士会所属 税理士／登録番号：130995

弁護士紹介はこちら >