中小企業に認められているマイナンバー安全管理に関する特例措置

中小企業に認められているマイナンバー安全管理に関する特例措置

中小企業に認められているマイナンバー安全管理に関する特例措置

国や地方公共団体である行政機関だけでなく、民間事業者も事業規模の大小や取扱い件数を問わず、マイナンバーを適切に管理する義務があります(番号法第12条個人番号利用事務実施者等の責務)。

しかし条件を満たす中小規模事業者(以下中小企業)に該当する場合は特例措置が適用されます。どのような条件を満たした中小企業に、どのような特例が認められているのかを見ていきましょう。

特例措置が適用される条件とは

従業員数が100名以下の中小企業は取扱件数がそれほど大きくないこともあり、原則の措置よりも緩やかな特例措置を施用することができます。

ただし以下の条件にあてはまらないことが条件となっています。

・個人番号利用事務実施者(国や地方公共団体、税務署、健康保険組合など)
・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
・個人情報取扱事業者(5,000人以上の個人情報を保有している事業者)

つまり、

・従業員数が100名以下
・民間事業者である
・マイナンバーに関する業務委託を受けていない
・金融分野の事業者ではない
・個人情報取扱事業者ではない

というような場合に、中小企業における特例措置を活用することができるのです。

マイナンバーに関する安全管理措置は、

・基本方針や取扱規定といった概念に関する事項(A.基本方針の策定 B.取扱規定の策定)
・担当部署や担当者といった組織や人的リソースに関する事項(C.組織的安全管理措置 D.人的安全管理措置)
・データ管理やセキュリティ対策といった実務に関する事項(E.物理的安全管理措置 F.技術的安全管理措置)

の3つに大別されます。

原則として基本方針や取扱規定等の策定を行なうことになっていますが、中小企業の特例として既存の業務マニュアルや業務フロー図にマイナンバーに関する事項を盛り込むことで対応可能としています。

また、組織体制を整備することが求められていますが、中小企業の場合は責任者と事務取扱担当者に分けることによって組織体制の整備とすることができます。

さらに電子媒体等を持ち出す場合、事務所内の移動であったとしても十分に注意することが原則となりますが、中小企業の場合は電子媒体や書類を移送するための安全な方策を講じればよいとしています。

個人番号を削除した場合においても破棄した記録を保存することとなっていますが、例外規定として破棄したことを確認すれば事足りるとしています。

中小企業の特例措置に関する具体な運用方法

それでは実際にどのような運用方法を講じればよいのかを具体的に解説していきます。

まず基本方針や取扱規定の策定は義務ではありません。また公表することに関する義務規定もないため、策定業務に関する優先順位はそれほど高くしておく必要はありません。

特定個人情報を取り扱う事務担当者が使用するパソコンは、背後からのぞき見されないように座席配置します。出入り口付近を避けたり、パーティションを使用したり、背後が壁になるようにレイアウトを変更したりすることによって、物理的安全管理措置における特定個人情報等を取り扱う区域を設定し、安全管理措置を講じることができます。

パソコンで特定個人情報データを管理する場合、OSのアップデートやセキュリティ対策ソフトの更新の頻度を上げ、常に最新の状態にしておきましょう。外部からの不正アクセスによるデータ漏えいを防ぐことができます。

中小企業のマイナンバー特例措置が認められない場合

中小企業は取扱件数を考慮し安全管理措置について特例が認められていますが、委託を受けた場合は特例措置が認められません

特定個人情報に関する委託を受けた場合は、委託者自身が本来果たすべき内容と同等の安全管理措置を講じなければならないからです。

ただし「委託に関する同等の安全管理措置」は、番号法や個人情報保護法の規定を満たしていれば良く、委託者と同レベルの高度な水準が求められているわけではありません。

また既にマイナンバーと同程度の個人情報保護に関する委託契約が締結されている場合は、再締結することなく委託を受けることが可能ですが、今回のマイナンバーで初めて委託する場合は契約締結をすることになります。

委託者は委託先に対して監督責任を負うことになるため、委託先で特定個人情報に関する情報漏えいがあった場合は、委託先だけでなく委託者もマイナンバー法に違反したとして罰せられる可能性があります。

そのため業務委託内容として契約締結を求められることになりますが、請負に関する契約書は収入印紙が必要になることから、契約書以外の書面で契約締結することを委託者から求められることもあるかもしれません。

契約書以外の書面で委託契約を締結したとしても、客観的に記録されている方法であれば、書式はどのようなものであっても問題ありません。

マイナンバーの安全な管理のために必要なこと

まとめ

中小企業においては取扱件数が大企業に比べて少ないことが考えられるため、複数の例外規定が認められています。取扱件数が少ないとはいえ、1件でも取り扱うデータがあれば安全管理措置を講じる必要があります。

書類をデスクに置いたままにしないことや施錠できるキャビネットで保管すること、USBへの書出しを無効化するなど、確実にできる対策をしっかりと実行し、うっかりデータが漏えいしてしまったということのないようにしましょう。



強固なセキュリティ対策を施したクラウド型マイナンバー管理システム

マイナンバー管理システム「マネーフォワード クラウドマイナンバー」

マイナンバーの収集・管理・破棄は、手元に番号を保管しないクラウド型のマイナンバー管理システム「マネーフォワード クラウドマイナンバー」を是非ご利用ください。

マイナンバー制度で企業が対応すべきこと
マイナンバーソリューション「マネーフォワード クラウドマイナンバー」の機能
マイナンバーのセキュリティ対策とは

Pocket