マイナンバーに関する基本方針・取扱規程等

IT・情報セキュリティ

 マイナンバー制度の開始にあたり、社内で規程等を整備したいのですが、どのような規程を揃えればよいのでしょうか。また、規程の整備にあたって留意する点があれば教えてください。

 まずは、特定個人情報等の適正な取扱いの確保について組織として取り組むための「基本方針」を策定することが重要です。
 運用にあたっては、「個人番号を取り扱う事務の範囲」「特定個人情報ファイルの範囲」「個人番号を取り扱う事務に従事する従業者の範囲」において明確化した事務の流れを整理し、特定個人情報等の具体的な取扱いを定めた「取扱規程等」を策定しましょう。
 既存の個人情報保護方針や個人情報取扱規程を定めている方も多いと思われますが、特定個人情報等の取扱いに係る基本方針および取扱規程等は独立の規程を設けた方がよいでしょう。
 策定にあたっては、本文末尾にあるひな型も参考としてください。

解説

目次

  1. 基本方針の策定
  2. 取扱規程等の策定
  3. 既存の個人情報保護方針・個人情報取扱規程への追記について
    1. 追記する場合の問題点
    2. 既存の個人情報保護方針や個人情報取扱規程に追記が必要な項目
  4. 基本方針、規程のひな型

 まずは、特定個人情報等の適正な取扱いの確保について組織として取り組むための「基本方針」を策定することが重要です。
 運用にあたっては、「個人番号を取り扱う事務の範囲」「特定個人情報ファイルの範囲」「個人番号を取り扱う事務に従事する従業者の範囲」において明確化した事務の流れを整理し、特定個人情報等の具体的な取扱いを定めた「取扱規程等」を策定しましょう。
 既存の個人情報保護方針や個人情報取扱規程を定めている方も多いと思われますが、特定個人情報等の取扱いに係る基本方針および取扱規程等は独立の規程を設けた方がよいでしょう。
 策定にあたっては、本文末尾にあるひな型も参考としてください。

基本方針の策定

 特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。

 基本方針に定める項目としては、次に掲げるものが挙げられます。

  • 事業者の名称
  • 関係法令・ガイドライン等の遵守
  • 安全管理措置に関する事項
  • 質問及び苦情処理の窓口 等

 基本方針は公表を義務付けられていませんが、個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報ガイドライン)の中で、「特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である」としています。

 なお、基本方針に関しては、中小規模事業者の特例はありません。

取扱規程等の策定

 事業者は、まず「個人番号を取り扱う事務の範囲」、「特定個人情報等の範囲」、「事務取扱担当者」を明確化する必要があります。

 その上でこれらの明確化した事務において事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません。

 取扱規程等については、特定個人情報ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」(安全管理措置ガイドライン)において、以下のとおり2つの手法が例示されています。

* 取扱規程等は、次に掲げる管理段階ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定めることが考えられる。具体的に定める事項については、C~Fに記述する安全管理措置(筆者注)を織り込むことが重要である。
  1. 取得する段階
  2. 利用を行う段階
  3. 保存する段階
  4. 提供を行う段階
  5. 削除・廃棄を行う段階
(筆者注)「C~Fに記述する安全管理措置」とは、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」をいう。
* 源泉徴収票等を作成する事務の場合、例えば、次のような事務フローに即して、手続を明確にしておくことが重要である。
  1. 従業員等から提出された書類等を取りまとめる方法
  2. 取りまとめた書類等の源泉徴収票等の作成部署への移動方法
  3. 情報システムへの個人番号を含むデータ入力方法
  4. 源泉徴収票等の作成方法
  5. 源泉徴収票等の行政機関等への提出方法
  6. 源泉徴収票等の本人への交付方法
  7. 源泉徴収票等の控え、従業員等から提出された書類及び情報システムで取り扱うファイル等の保存方法
  8. 法定保存期間を経過した源泉徴収票等の控え等の廃棄・削除方法 等

 また、中小規模事業者については、以下の対応方法を講ずることとされています。

  • 特定個人情報等の取扱い等を明確化する。
  • 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。

 すなわち、中小規模事業者については、必ずしも取扱規程等を策定しなくても構いません。もっとも、中小規模事業者についても、その事務を明確化するために取扱規程等を策定しておいた方がよいと考えられます。

既存の個人情報保護方針・個人情報取扱規程への追記について

 上記1の特定個人情報等の取扱いに係る基本方針は、既存の個人情報の取扱いに関する基本方針(個人情報保護方針、プライバシーポリシー等)を改正する方法または別に策定する方法いずれでも差し支えありません。

 同様に、上記2の特定個人情報等の取扱規程等についても、既存の個人情報の保護に係る取扱規程等がある場合には、特定個人情報の取扱いを追記することによる対応も可能です。

追記する場合の問題点

 しかしながら、筆者は、既存の個人情報保護方針に特定個人情報等の取扱いに関する基本方針を追記すること、および、既存の個人情報取扱規程に特定個人情報等の取扱いを追記することは、いずれも避けるべきと考えます

 なぜなら、既存の個人情報保護方針や個人情報取扱規程の中に追加の規定をすると、非常に分かりづらくなることに加えて、個人情報の取扱いと特定個人情報等の取扱いについて矛盾して規定してしまう可能性があるからです。

 たとえば、特定個人情報については個人情報保護法23条の第三者提供の規定が適用除外されます。また、規定の仕方によっては、既存の個人情報についても、従来求められている義務が加重されてしまう可能性があります

 特定個人情報等の取扱いに係る基本方針は公表する必要がありませんが、個人情報保護方針に追記するとそちらに引きずられて公表しなければならないことになります。

既存の個人情報保護方針や個人情報取扱規程に追記が必要な項目

 したがって、筆者は、 特定個人情報等の取扱いにかかる基本方針および取扱規程等は、既存の個人情報保護方針や個人情報取扱規程と独立の規程にした方がよいと考えます

 その場合でも、特定個人情報も個人情報保護法上の個人情報に該当するため、既存の個人情報保護方針や個人情報取扱規程の適用を受けないようにするため、これらの規程の中において、「番号法上の特定個人情報等の取扱いについては、別途定める特定個人情報等基本方針の定めるところによる。」、「番号法上の特定個人情報等の取扱いについては、別途定める特定個人情報等取扱規程の定めるところによる。」という規定の追記が必要です。

基本方針、規程のひな型

 基本方針、取扱規程等の策定については、以下のファイルをダウンロードして参考としてください。

特定個人情報等の適正な取扱いに関する基本方針(PDF)
特定個人情報等取扱規程(一般事業者用)(PDF)
特定個人情報等取扱規程(中小規模事業者用)(PDF)

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する