マイナンバー制度対応の準備事項が整理できたところで、いよいよ準備作業の具体的なポイントに入っていきます。まずは「特定個人情報の取り扱い手順の確立」について、みならい君と一緒に学びましょう。
この物語は、見習い内部統制室メンバーの「みならい君」が、上司や先輩に指導を受けながら、マイナンバー制度への対応作業を行っていく物語です。
読者の皆さまには、この連載を通じて、マインナンバー制度への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。
なお、「みならい君」が所属する会社は、2015年4月に内部統制室が発足し、最初の仕事として、マイナンバー制度への対応を行うことが決定しました。
第3回目のテーマは、「特定個人情報の取り扱い手順の確立と特定個人情報の安全管理策の整備」です。
よ〜し、みんなそろったかな〜?
は〜い、本日もよろしくお願いしま〜す!
常務! 本日は、特定個人情報の取り扱い手順の確立と特定個人情報の安全管理策の整備に関する具体的なポイントについてですね!
そうだね、まずは、取り扱い手順の対象と、安全管理策の整備、簡単に言うと「情報セキュリティ対策」の対象を整理しようか?
はい、基本的に、従業員などから個人番号を取得し、個人番号関係事務のために利用し、所管法令において定められている保存期間を経過した際の廃棄までが対象範囲です。
なるほど〜! 対象は、特定個人情報である「個人番号」の取り扱いプロセスである、取得、利用、委託、移送、保管、廃棄になるんですね?
そうだね、個人番号の取り扱いプロセスに対して、特定個人情報の取り扱い手順を確立することと、安全管理策を整備することがマイナンバー制度への対応の中で一番重要なポイントになるんだよ!
でも、特定個人情報の取り扱い手順の確立と安全管理策の整備とは、具体的にどんなことをするんですか?
特定個人情報の取り扱い手順の確立とは、「利用目的の通知や本人確認など、番号法を順守するための適切な個人番号の取り扱い手順を整備すること」を指し、特定個人情報の安全管理策の整備とは、「個人番号の漏えい、滅失または毀損(きそん)の防止その他の個人番号の適切な管理のために必要な情報セキュリティの対策を整備すること」を指しているのよ!
よ〜く分かりました!
それでは、特定個人情報の取り扱い手順の確立から始めようか?
は〜い!
まずは、特定個人情報の取得に関する取り扱い手順ですね?
そうだね、特定個人情報の取得に関する基本要件を整理してくれるかな?
はい、(1)従業員などへ個人番号の利用目的の通知または公表を行うための手順、(2)本人確認を行うための手順、(3)適正な取得を行うための手順、の三つが重要なポイントになると思います。
個人番号の利用目的は、本人(従業員など)との同意は必要ないのかな?
個人番号の利用目的については、本人(従業員など)が知り得る状態(通知または公表)で良いとしているわ!
なるほど〜! そうすると、利用目的を記載した書類を提示することや、社内の電子掲示板に掲載することでも良いんですね!
そうだね、ただし、気を付けなければいけないことは、個人番号の本人が従業員だけとは限らないことだよ。例えば、外部の個人契約先の方は、社内の電子掲示板は参照できないからね!
そうだわ〜、本人ごと(従業員、従業員の扶養家族、外部の個人契約先)に個人番号の利用目的の通知または公表手順を決めておく必要がありそうね!
Copyright © ITmedia, Inc. All Rights Reserved.