【マイナンバーガイドライン入門(事業者編)などの令和6年5月版を公表】
特定個人情報の適正な取扱いに関するガイドライン資料集が更新されています。事業者向けの説明資料としては、次の資料の最新版が公表されています。はじめてのマイナンバーガイドライン(事業者編)より抜粋してご紹介します。
○マイナンバーガイドライン入門(事業者編)(令和6年5月版)
https://www.ppc.go.jp/files/pdf/my_number_introduction_jigyosha.pdf
○はじめてのマイナンバーガイドライン(事業者編)(令和6年5月版)
https://www.ppc.go.jp/files/pdf/my_number_first_jigyosha.pdf
○マイナンバーガイドライン入門(金融業務編)(令和6年5月版)
https://www.ppc.go.jp/files/pdf/my_number_introduction_kinyu.pdf
■取得・利用・提供のルール
【取得】
個人番号・特定個人情報の取得・利用・提供は、番号法によって限定的に定められています。
社会保障及び税等に関する手続書類の作成事務を処理するために必要がある場合に限って、従業員等に個人番号の提供を求めることができます。
※社会保障及び税等に関する手続書類:源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格取得届 など
《提供を求める時期》
○社会保障及び税等に関する手続書類の作成事務が発生した時点が原則。
○契約を締結した時点等のその事務の発生が予想できた時点で求めることは可能と解されます。
[提供を求める時期の事例]
*給与所得の源泉徴収票等の作成事務の場合は、雇用契約の締結時点で個人番号の提供を求めることも可能であると解されます。
*地代等の支払調書の作成事務の場合は、賃料の金額により契約の締結時点で支払調書の作成が不要であることが明らかである場合を除き、契約の締結時点で個人番号の提供を求めることが可能であると解されます。
【利用・提供】
事業者は、社会保障及び税等に関する手続書類に従業員等の個人番号・特定個人情報を記載して、行政機関等及び健康保険組合等に提出することとなります(個人番号関係事務)。
その他、番号法で限定的に定められている場合以外、個人番号・特定個人情報を利用・提供することはできません。
■保管・廃棄のルール
【保管】
特定個人情報は、社会保障及び税等に関する手続書類の作成事務を行う必要がある場合に限り、保管し続けることができます。
※個人番号が記載された書類等のうち所管法令によって一定期間保存が義務付けられているものは、その期間保管することとなります。
[継続的に保管できる場合の事例]
*雇用契約等の継続的な契約関係にある場合には、従業員等から提供を受けた個人番号を給与の源泉徴収事務、健康保険・厚生年金保険届出事務等のために翌年度以降も継続的に利用する必要が認められることから、特定個人情報を継続的に保管できると解されます。
*従業員等が休職している場合には、復職が未定であっても雇用契約が継続していることから、特定個人情報を継続的に保管できると解されます。
*土地の賃貸借契約等の継続的な契約関係にある場合も同様に、支払調書の作成事務のために継続的に個人番号を利用する必要が認められることから、特定個人情報を継続的に保管できると解されます。
【廃棄】
社会保障及び税等に関する手続書類の作成事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければなりません。
《個人番号の削除、機器及び電子媒体等の廃棄》
○個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することとなります。
○削除又は廃棄の作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する必要があります。
<個人番号の廃棄のタイミング>
廃棄が必要となってから廃棄作業を行うまでの期間については、毎年度末に廃棄を行う等、個人番号及び特定個人情報の保有に係る安全性及び事務の効率性等を勘案し、事業者において判断してください(Q&Aにも記載しています。)。
■委託のルール
【委託】
委託先の必要かつ適切な監督が必要です。再委託する場合は、最初の委託者の許諾が必要です。
委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
委託先が再委託する場合は、最初の委託者の許諾を得た場合に限り、再委託をすることができます。
※再々委託以降も同様です。
《必要かつ適切な監督》
○①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握
○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、委託する業務の遂行に必要な範囲を超える事務所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい等事案が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託先における特定個人情報の取扱状況の把握については、契約に基づき報告を求めること等により、委託契約で盛り込んだ内容の実施の程度を把握した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましいです。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。
■安全管理措置のルール
【安全管理措置】
個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません。
【特定個人情報等:個人番号及び特定個人情報】
《基本方針の策定》
○特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。
《取扱規程等の策定》
○特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません。
《組織的安全管理措置》
○組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し
《人的安全管理措置》
○事務取扱担当者の監督
○事務取扱担当者の教育
《物理的安全管理措置》
○特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等の取扱いにおける漏えい等の防止、個人番号の削除、機器及び電子媒体等の廃棄
《技術的安全管理措置》
○アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止
《外的環境の把握》
○外国において特定個人情報等を取り扱う場合、当該外国の個人情報の保護に関する制度等を把握
詳しくは下記参照先をご覧ください。
- 参照ホームページ [ 個人情報保護委員会 ]
- https://www.ppc.go.jp/legal/policy/document/