2回目の今回は、「12月中に中小規模事業者がやっておくこと」について書いてみたいと思います。

 

日本郵便の11月26日付プレスリリースによれば、「通知カード」の配達は12月20日に完了する予定となっています。マイナンバー制度は配達完了予定日のわずか12日後の2016年1月1日からスタートするため、通知カードが自宅に届いているいないにかかわらず、中小事業者の皆さんが「やっておかなくてはならないこと」への取り組みを概ね終えている必要があります。

 

ちなみにマイナンバー法(番号法)では、本人の同意があったとしても、利用目的を超えてマイナンバー(個人番号)や特定個人情報を利用してはならないとされています。また、その12条では、全ての事業者に対して、個人番号(生存する個人のものだけでなく死者のものも含む)について安全管理措置を講ずることとされています。

 

つまり、安全管理措置を講じていない事業者は、個人番号および特定個人情報を取り扱ってはならないことになり、来年1月からマイナンバー制度がスタートする前に(マイナンバーを取得する事業者は)安全管理措置を整備しておかなければならないということになります。

 

12月中にやっておかなければならない項目(やっておいた方がよいことも含む)について、表にまとめましたので、表記載の検討手順1〜9に沿ってごく簡単に説明します。

 

なお、並行して実施するものもあるため、この順番通りに取り組む必要は必ずしもありません。

 

12月中にやっておかなければならない項目と手順

検討
手順
実施事項 Must Want 中小規模事業者における対応方法
マイナンバー利用事務を
特定する
源泉徴収事務と雇用保険の事務の対応が2016年から必要(健康保険に関する事務は2017年に対応することで可能。年金については取扱開始時期が未定)
マイナンバー取得対象者を
特定する
従業員・扶養家族の他に、取引関係にある個人事業者、個人株主が対象となります
事務取扱担当者を
明確化する
事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい
基本方針を策定する 義務はありませんが、策定しておくと従業員教育に役立つ以外に、ホームページへ掲載することで取り組み姿勢をアピールできます
取扱規程などを策定する 特定個人情報等の取り扱いなどを明確化し、事務取扱担当者が変更となった場合、確実な引継をおこない、責任ある立場のものが確認する
安全管理措置を講ずる
 (組織的安全管理措置)
  • マイナンバーと特定個人情報の取扱状況が分かる記録を保存する仕組みを作る
  • 情報漏洩に対する従業員から責任者への「報・連・相」の体制を確認しておく
 (人的安全管理措置)
  • 事業者は事務取扱担当者を監督し、担当者を教育する(前回挙げた「マイナンバー4箇条」の徹底)
 (物理的安全管理措置)
  • 特定個人情報等の漏洩防止のため、情報システムを管理する区域(管理区域)と事務を実施する区域(取扱区域)とに分ける
  • 盗難防止のため、書庫は施錠しPCは金庫にしまうなどの措置が必要
 (技術的安全管理措置)
  • マイナンバーと特定個人情報を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい
  • 機器に標準装備されているユーザ制御機能(ユーザアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい
マイナンバー取得対象者へ
利用目的周知と提供依頼
法や社会基盤の整備に伴い必要となることをアピールし理解を得る。提供を拒む相手方については、・繰り返し提供を要請する、・記録を取る 等の措置を自社の業務プロセスに組み込んでおく
マイナンバー4箇条の
従業員教育
各種の公的パンフレット・リーフレットの配布等を通じて制度についての協力理解を深めるととともに、自社の安全管理措置を教育する(個人情報保護法に比して罰則が強化されたことも付記)
システム改修 給与計算等、直接実施している業務については件数が少なければシステム化しない検討もある。

※Must:やっておかなくてはならないこと Want:やっておいた方がよいこと

まず、手順1としてマイナンバー利用事務を特定します。来年1月からマイナンバーが利用される事務は、源泉徴収票や支払調書等の法定調書への個人番号記載と、雇用保険の資格取得・喪失届への記載です。

 

手順2、マイナンバーを取得する対象者を特定します。取得対象者は、従業員とその控除対象配偶者・扶養親族です。このほかに、報酬を支払う個人事業主や配当を支払う個人株主、事業所を賃貸しているような場合の個人家主も取得対象です。まず、手順1としてマイナンバー利用事務を特定します。来年1月からマイナンバーが利用される事務は、源泉徴収票や支払調書等の法定調書への個人番号記載と、雇用保険の資格取得・喪失届への記載です。

 

手順3、事務取扱担当者を明確化します。事務取扱担当者が複数いる場合は、担当者と責任者を区分することが望ましいとされています。

 

手順4、基本方針を作成します。これは「策定が望ましい」とされているので策定義務はありませんが、事業主の姿勢を社内外に明らかにするものであり、社内研修活用や会社のイメージアップ寄与にも期待できるため、策定することをお勧めします。

 

手順5、取扱規程などを策定するのですが、○○規程といった名称にこだわる必要はなく、業務マニュアル・フロー図・チェックリスト等にマイナンバーの取扱について追記するといった対応も考えられます。

 

手順6、安全管理措置を講じます。ここがいちばんボリュームのある箇所です。とても本稿では書ききれませんので、「中小企業向け はじめてのマイナンバーガイドライン」(http://www.ppc.go.jp/files/pdf/270213chusho.pdf) を参照下さい。

 

手順7、マイナンバー取得対象者へ利用目的を周知しマイナンバーの提供を依頼します。

 

手順8、従業員教育のために、「中小企業向け はじめてのマイナンバーガイドライン」に掲載されているマイナンバー4箇条(取得・利用・提供・保管・廃棄・委託・安全管理措置)を従業員に教育します。ビデオレンタル店のような新規入会者の本人確認を求める業態の場合、顔写真付きの「個人カード」で本人確認を行うケースも考えられます。マイナンバー流出・漏洩リスクが高いため、パート・アルバイトを含めた従業員教育が極めて重要です。

 

手順9、必要に応じてシステム改修を行いますが、改修には一定の時間が掛かることから、他の実施事項と平行して取り組む必要があります。一方、取り扱うマイナンバーが小規模な場合、システムにマイナンバーを取り込まずに対応する選択肢もあります。

 

次回3回目は「1月から中小規模事業者がやらなくてはならないこと」と題して、実際の利用事務についてふれる予定です。

 

<参考資料>

中小企業向けはじめてのマイナンバーガイドライン(http://www.ppc.go.jp/files/pdf/270213chusho.pdf)

特定個人情報の適正な取扱いに関するガイドライン(事業者編)

中小企業におけるマイナンバー法の実務対応(経済産業省)

内閣官房マイナンバーHP(http://www.cas.go.jp/jp/seisaku/bangoseido/)

特定個人情報保護委員会HP(http://www.ppc.go.jp)