マイナンバーに関する基本方針・取扱規程等

　まずは、特定個人情報等の適正な取扱いの確保について組織として取り組むための「基本方針」を策定することが重要です。
　運用にあたっては、「個人番号を取り扱う事務の範囲」「特定個人情報ファイルの範囲」「個人番号を取り扱う事務に従事する従業者の範囲」において明確化した事務の流れを整理し、特定個人情報等の具体的な取扱いを定めた「取扱規程等」を策定しましょう。
　既存の個人情報保護方針や個人情報取扱規程を定めている方も多いと思われますが、特定個人情報等の取扱いに係る基本方針および取扱規程等は独立の規程を設けた方がよいでしょう。
　策定にあたっては、本文末尾にあるひな型も参考としてください。

基本方針の策定

　特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。

　基本方針に定める項目としては、次に掲げるものが挙げられます。

　基本方針は公表を義務付けられていませんが、個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」（特定個人情報ガイドライン）の中で、「特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である」としています。

　なお、基本方針に関しては、中小規模事業者の特例はありません。

取扱規程等の策定

　事業者は、まず「個人番号を取り扱う事務の範囲」、「特定個人情報等の範囲」、「事務取扱担当者」を明確化する必要があります。

　その上でこれらの明確化した事務において事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません。

　取扱規程等については、特定個人情報ガイドラインの「（別添）特定個人情報に関する安全管理措置（事業者編）」（安全管理措置ガイドライン）において、以下のとおり２つの手法が例示されています。

　また、中小規模事業者については、以下の対応方法を講ずることとされています。

　すなわち、中小規模事業者については、必ずしも取扱規程等を策定しなくても構いません。もっとも、中小規模事業者についても、その事務を明確化するために取扱規程等を策定しておいた方がよいと考えられます。

既存の個人情報保護方針・個人情報取扱規程への追記について

　上記1の特定個人情報等の取扱いに係る基本方針は、既存の個人情報の取扱いに関する基本方針（個人情報保護方針、プライバシーポリシー等）を改正する方法または別に策定する方法いずれでも差し支えありません。

　同様に、上記2の特定個人情報等の取扱規程等についても、既存の個人情報の保護に係る取扱規程等がある場合には、特定個人情報の取扱いを追記することによる対応も可能です。

追記する場合の問題点

　しかしながら、筆者は、既存の個人情報保護方針に特定個人情報等の取扱いに関する基本方針を追記すること、および、既存の個人情報取扱規程に特定個人情報等の取扱いを追記することは、いずれも避けるべきと考えます。

　なぜなら、既存の個人情報保護方針や個人情報取扱規程の中に追加の規定をすると、非常に分かりづらくなることに加えて、個人情報の取扱いと特定個人情報等の取扱いについて矛盾して規定してしまう可能性があるからです。

　たとえば、特定個人情報については個人情報保護法23条の第三者提供の規定が適用除外されます。また、規定の仕方によっては、既存の個人情報についても、従来求められている義務が加重されてしまう可能性があります。

　特定個人情報等の取扱いに係る基本方針は公表する必要がありませんが、個人情報保護方針に追記するとそちらに引きずられて公表しなければならないことになります。

既存の個人情報保護方針や個人情報取扱規程に追記が必要な項目

　したがって、筆者は、 特定個人情報等の取扱いにかかる基本方針および取扱規程等は、既存の個人情報保護方針や個人情報取扱規程と独立の規程にした方がよいと考えます。

　その場合でも、特定個人情報も個人情報保護法上の個人情報に該当するため、既存の個人情報保護方針や個人情報取扱規程の適用を受けないようにするため、これらの規程の中において、「番号法上の特定個人情報等の取扱いについては、別途定める特定個人情報等基本方針の定めるところによる。」、「番号法上の特定個人情報等の取扱いについては、別途定める特定個人情報等取扱規程の定めるところによる。」という規定の追記が必要です。

基本方針、規程のひな型

　基本方針、取扱規程等の策定については、以下のファイルをダウンロードして参考としてください。

特定個人情報等の適正な取扱いに関する基本方針（PDF）
特定個人情報等取扱規程（一般事業者用）（PDF）
特定個人情報等取扱規程（中小規模事業者用）（PDF）