水町 雅子
五番町法律事務所 弁護士
元内閣官房社会保障改革担当室参事官補佐
本連載では、マイナンバーのために今やるべきことは何か、マイナンバーの取り扱いのポイントは何かを、具体的に解説していく。
第8回の今回は、規程・様式の準備とマイナンバーを取り扱う従業員(事務取扱担当者。以下、マイナンバー担当者)の監督・教育について説明する。インターネットで検索すると、マイナンバー関連の規程・様式類としてさまざまなものが公開されているが、実務上あまり必要でないものも散見される。効率的に作業を進めるためにも、「その規程・様式が必要なのか」「なぜ必要なのか」「何を記載すべきか」というポイントを押さえた上で、準備を進めるとよい。また作成した規程類を基に、マイナンバー担当者への監督・教育を行っていくことが望まれるので、規程類の作成に当たっては、マイナンバー担当者の監督・教育といった運用段階を踏まえるとよいだろう。
今回のポイント
「必要な規程・様式を作成し、マイナンバー担当者への監督・教育に役立てよう」
● 必要な規程は、①基本方針、②取扱規程、③就業規則、④委託契約書の四つで、特に②取扱規程と④委託契約書が重要
● 必要な様式は委任状のみ。特定個人情報管理台帳、ログ・記録などは必要に応じ作成すればよい
● マイナンバー担当者への教育などの運用に役立つ具体的な規程・様式を作成していこう
1 必要な規程
マイナンバーのために必要な規程類は次の四つ、①基本方針、②取扱規程、③就業規則、④委託契約書であり、多くはない[図表1]。この中で重要なのは②取扱規程と④委託契約書である。
[図表1]マイナンバーに関する規程類
| 名称 | 重要度 | 内容 |
| ①基本方針 | ☆☆☆ | プライバシーポリシーと同様のもの。従前のプライバシーポリシーの中に盛り込んでもよい |
| ②取扱規程 | ☆☆☆☆☆ | マイナンバーに関する社内ルール。これを基に従業員監督・教育を行えるレベルに具体化することがポイント |
| ③就業規則 | ☆☆ | マイナンバー(生存する個人のものだけでなく死者のものを含む)の適正取り扱いなどを規定 |
| ④委託契約書 | ☆☆☆☆☆ | 委託する場合は、委託契約書の見直しが必須 |
[1]基本方針 ☆☆☆
基本方針とは、対外的宣言であり、会社の方針を外部に分かりやすく説明するものである。マイナンバーをはじめとする個人情報の取り扱いについて顧客などから問われたときに、従業員がポイントを説明できるように基本方針を作る。
すでに多くの会社で「個人情報保護基本方針」「プライバシーポリシー」が作成されていると思われるので、それらにマイナンバー部分を追記してもよいし、別途作成してもよい。
[2]取扱規程 ☆☆☆☆☆
これまでの連載で解説してきたとおり、マイナンバーを取り扱うにはマイナンバー法および個人情報保護法上のルールに従わなければならない。そのポイントは、「必要な範囲で取得・利用・外部提供すること」「適切に廃棄すること」「不正・漏えい・紛失等が起こらないよう安全面に配慮すること」である。そして、取扱規程とは、このルールを守るために社内で具体的に何をするかをまとめた文書であり、従業員用のマイナンバーマニュアルである。取扱規程を見れば、何を行ってよいか、いけないかが分かるような、従業員の監督・教育にそのまま使えるくらいシンプルなものを作ることが望ましい。
取扱規程に何を書いてよいか分からないとの声もあるが、通常の業務マニュアルと同様に考えればよい。業務マニュアルには、その業務のために、誰がどのタイミングで何を行い、その際に気を付けるべきポイントは何かが記載するのが一般的であろう。マイナンバーの取扱規程も同様である。
具体的には、以下のとおりである。
・誰が、どの対象者から、どのタイミングで、マイナンバーを取得するか
・取得後どのタイミングで、マイナンバーを利用し、外部提供する先はどこか
・マイナンバーを保管するキャビネット等の鍵管理は、どうするか
・廃棄が必要なマイナンバーを、いつ、誰がチェックし、どのように廃棄するか
・委託する場合は、委託先をどう選定し、監督するか
これらをはじめとするマイナンバーの取り扱い方法を分かりやすく記載しよう[図表2]。
[図表2]取扱規程の例(マイナンバーの取得に関して)
<やること>
● □月に、人事課マイナンバー担当が各課庶務担当に「給与所得者の扶養控除等(異動)申告書」「給与所得者の保険料控除申告書」を配布し、各課庶務担当が従業員に配布。
● □月に、従業員が記載・確認した上記申告書を各課庶務担当がとりまとめる。各課庶務担当は、マイナンバーの初回取得時については、番号確認書類(個人番号カード、または通知カード、またはマイナンバーが記載された住民票の写し、またはマイナンバーが記載された住民票記載事項証明書)の添付と、申告書に記載されたマイナンバーと合致することを確認する。マイナンバーを受け取ったら封筒に入れ、キャビネットに施錠保管する。全部集まり次第、人事課マイナンバー担当の元へ封かんした申告書、番号確認書類を持参する。
● 各課庶務担当は、マイナンバーの取得および本人確認を行った日時、人事課マイナンバー担当へ交付した日時を、記録票に記載する。
<注意点>
【各課】
・法律上本人確認が義務づけられるため、「番号確認書類の添付の有無」「番号確認書類上のマイナンバーと申告書上のマイナンバーが合致すること」を必ず確認する。
・マイナンバーの安全管理のため、従業員からマイナンバーを受け取ったら、封筒に入れ、キャビネットに施錠して管理。人事課へ持参するときは、封かんしたものを持参。
【人事課】【各課】
・従業員には申告書のみを配布するのではなく、マイナンバーの意義・提供のお願い・本人確認書類添付のお願い・マイナンバーの利用目的を記載した書類を合わせて配布。これをもって法律上必要な利用目的の明示になるので、必ず配布する。初回取得時の後は、上記の書類にマイナンバーの変更がないか確認してほしい旨を記載する。
・マイナンバーは、税務手続き(給与所得の源泉徴収票等法定調書作成)、社会保障手続き(年金、健康保険、介護保険、雇用保険、労災保険)に必要な範囲でしか取得できない。
【人事課】
・採用時に本人確認を行っていない者には、本人確認として、さらに身元確認書類(運転免許証等)が必要になるので注意。採用時に本人確認を行っていない者がいるかどうか事前に人事課で確認する。
[注]上記はあくまで例なので、適宜、会社の業務フローに合わせた内容とする必要がある。
[3]就業規則 ☆☆
就業規則には、マイナンバー(生存する個人のものだけでなく死者のマイナンバーも含む)をはじめとする個人情報の適正取り扱い義務を規定する。もっとも、多くの就業規則では、すでに個人情報の適正取り扱い義務(守秘義務、不正取得禁止、漏えい禁止、返却等を含む)が規定されていると考えられる。マイナンバーは個人情報に該当するので、修正しなくても問題はないと考えられるが、注意喚起のためにも、文言を「マイナンバー(マイナンバー法に定義されている「個人番号」)をはじめとする個人情報の適正取り扱い義務」に改めることが望ましい。
また、細かい点であるが、死者のマイナンバーは、法令上、個人情報にも特定個人情報にも該当しないものの、マイナンバー法上の個人番号に該当して、安全管理措置義務等を会社は負うことになる。そこで、これまでの就業規則に、個人情報に対する適正取り扱い義務が規定されていたとしても、そこには死者のマイナンバーは含まれないので、保護する対象に死者のマイナンバーを追加しておくべきであろう。
このほかに、マイナンバーの利用目的を就業規則に明記してもよい。もっとも、利用目的を就業規則に必ずしも記載する必要はない。例えば、マイナンバーの提出を依頼する書類に記載したほうが、かえって従業員等にとっても目に触れやすいため望ましい方法であろう。
また、就業規則には、会社が税務・社会保障手続きを行うために、従業員に対して、会社に自分自身とその扶養家族のマイナンバーを提出した上で、本人確認に協力すること、マイナンバーが変更になったら再度会社に提出することを規定することも考えられる。
[4]委託契約書 ☆☆☆☆☆
マイナンバーを他者に取り扱わせる場合、委託先を監督する義務がある。委託先における取り扱いについても、監督義務を免れることはできない。
委託契約書では、以下の点を記載しよう。
・秘密保持義務
・委託業務に必要な範囲でしかマイナンバーを取り扱わないこと
・委託先においてマイナンバーを取り扱う具体的体制
・外部提供する場合は事前に書面による許可を得なければならないこと
・マイナンバーの事業所外持ち出しの禁止
・複製の原則禁止
・委託契約終了後の情報の返却・廃棄
・委託先従業員に対する監督・教育方法
・委託元への報告内容・頻度
・委託元による委託先の検査
・再委託に関する許諾を求める場合の方法
・マイナンバーの不正・漏えい等があった場合の委託先の責任等
つまり、自社の取扱規程と同様に、委託先の取扱規程を具体的に確認し、取扱規程の遵守を約束させるとともに、委託先の責任・委託元への報告・委託元の検査などについて取り決める。
2 必要な様式
マイナンバーのために必須となる様式は、⑤委任状のみであろう[図表3]。①依頼書、⑥特定個人情報管理台帳、⑦ログ・記録は必要に応じ、作成することも考えられる。その他の様式(②③④)は、原則として必要ないが、会社の業務フロー上必要または適切であれば用意してもよい。
[図表3]マイナンバーに関する様式類
| 名称 | 必要度 | 内容 |
| ①マイナンバー依頼書 | ☆☆ | 会社が従業員や報酬支払い先等に出す様式。独自の様式を用意しなくてもよいが、あっても便利 |
| ②マイナンバー申告書 | ☆ | 従業員や報酬支払い先等が会社に提出する様式。独自の様式を用意しなくてもよい |
| ③マイナンバー同意書 | ☆ | マイナンバーの取得・利用に関して同意は不要 |
| ④利用目的通知書 | ☆ | 独自の様式を用意しなくてもよい。①マイナンバー依頼書に記載したほうが分かりやすい。 |
| ⑤委任状 | ☆☆☆☆☆ | 国民年金の第3号被保険者の手続き等の際に必要。 |
| ⑥特定個人情報管理台帳 | ☆☆☆ | 個人情報管理台帳がある場合は、独自の様式を用意しなくてもよい。 |
| ⑦ログ・記録 | ☆☆☆ | システムログについては、システムで対応する。Excelや紙のノート等で記録する場合は独自の様式を用意する |
[1]委任状
(1)委任状が必要になる場合
委任状は、代理人からマイナンバーの提供を受ける際に必要になる[図表4]。従業員の扶養家族の場合は、国民年金第3号被保険者の手続きで利用する。代理というと国民年金第3号被保険者ばかり強調されがちだが、それ以外も、本人ではなく、他者からマイナンバーの提供を受ける際は、代理人からの提供に該当し得る。例えば、講演会のために外部講師を依頼した時に、外部講師のマイナンバーを、仲介するマネジメント会社から受領する場合は、代理人からマイナンバーの提供を受けると考えられ、委任状が必要になる。
基本的に、マイナンバーの取得の際に間に第三者が介在していれば、代理人からの提供に該当する[図表4]。例外として、取得を他社に委託している場合(法律上は"委託")、従業員自身が行うべき税務手続き等で従業員が扶養親族のマイナンバーを取り扱う場合など(法律上は従業員自身が"個人番号関係事務実施者")は、代理人からの提供に該当しない。また、間に入っている者が"代理人"ではなく、"使者"と評価されれば、代理人からの提供に該当せず、委任状は不要である。
[図表4]国民年金第3号被保険者のケース-配偶者・扶養親族等からの提供
.png)
ここで、間に入っている第三者が"代理人"か"使者"のどちらに当たるかは難しい判断になるが、例えばお手伝いさんに持参させる場合などは、"使者"に該当すると解される。
マイナンバーの取得の際に、間に第三者が介在していても、場合によって、法律上の分類が分かれるため(代理人、委託先、個人番号関係事務実施者[個人番号関係事務を処理する者および個人番号関係事務の全部又は一部の委託を受けた者]、使者)分かりづらい。そのため間に第三者が介在していれば通常、代理人に当たると考え、上記の例のように、委託、個人番号関係事務実施者の場合のみ、委任状が不要と考えたほうがベターだ。これは法律上の概念であるので、判断に迷った際は、法務部などに確認するとよい。
(2)委任状の様式
委任状の様式自体は、そこまで難しく考えなくてよい。誰が誰に対し、何を依頼しているかが明確になればよい。例えば、妻(夫)が夫(妻)に、国民年金第3号被保険者の手続き(マイナンバーを会社に提供することを含む)を委任していることが分かればよい。その際、妻と夫の住所・生年月日、署名押印も求めよう。
会社で委任状の様式を用意しなくても法的には問題ない。もっとも、従業員の扶養家族に委任状を作成してほしいといっても、通常はどのように作成したらよいか分からない場合も多いので、委任状の様式を会社で用意したほうが、会社での確認作業が効率化する。
[2]特定個人情報管理台帳
特定個人情報保護委員会が公表しているガイドラインでは、マイナンバーの安全管理措置として、特定個人情報ファイルの取扱状況を確認するための手段を整備することを求めている。
会社で誰のマイナンバーを保有していて、何のために、誰が利用して、どこで保管管理されているのかが分からなければ、マイナンバーの適切な取り扱いはできない。そのために自社で保有しているマイナンバーのファイルの概要を管理するのが目的である。
特に様式の定めはないが、個人情報管理台帳を作成している会社であれば、これに「特定個人情報か否か」の欄を加えるとよいだろう。個人情報管理台帳を作成していない会社であれば、これを機に特定個人情報管理台帳を作成しよう。台帳に記載する項目は、[図表5]を参照してほしい。
[図表5]個人情報管理台帳のイメージ
| 対象者 | 利用目的 | 責任者 | 取扱部署 | 委託 | 廃棄 |
| 従業員 | 法定調書作成事務 健康保険届出事務 介護保険届出事務 厚生年金保険届出事務 雇用保険届出事務 労災保険届出事務 |
番号太郎 | 人事課●担当 | あり(X社へシステム運用を委託) | 退職から●年後 |
| 従業員の扶養親族 | 法定調書作成事務 | 番号太郎 | 人事課●担当 | あり(X社へシステム運用を委託) | 退職から●年後 |
| 従業員の扶養家族 | 法定調書作成事務 健康保険届出事務 介護保険届出事務 厚生年金保険届出事務 |
番号太郎 | 人事課●担当 | あり(X社へシステム運用を委託) | 退職から●年後 |
| 外部講師 | 法定調書作成事務 | 内閣花子 | 経理課●担当 | あり(X社へシステム運用を委託) | ●のタイミング |
[3]ログ・記録
上記ガイドラインでは、マイナンバーの安全管理措置として取扱規程等に基づく運用状況を確認するため、システムログまたは利用実績を記録することを求めている。
何か不正が起こっても、誰が、どのような処理をしたのかが分からなければ不正行為者の特定は難しい。また、記録を取得することで不正行為防止の抑止効果も期待できる。
特に様式の定めはない。誰が、いつ、何をしたかが分かるよう、また不正を抑止できるようログインの成功・失敗なども記録しておくとよい。システムログについては、帳票レイアウト等を検討しシステム側で対応する。
Excelや紙のノート等で記録する場合は独自の様式を用意する。特にマイナンバーを保管する施錠書庫などの鍵の授受については、正確に記録を作成できるように注意する。
[4]マイナンバー依頼書
マイナンバー依頼書は、独自の様式を用意しなくてもよい。メールや社内通達などで、「会社が税務・社会保障手続きをするために従業員と扶養家族のマイナンバーが必要になること」を伝え、「本人確認書類として何が必要となるか」「いつまでに誰に提出するか」等を連絡すればよい。もっとも、従業員に一度依頼すれば、マイナンバーの依頼処理すべてが完了するわけではない。今後新しく採用する従業員、法定調書の対象となる個人取引先等があれば、その都度依頼しなければならない。そのたびごとに文章を作成するのは非効率なので、依頼書は対象者の類型ごとに用意しておくと便利だろう。なお、対象者が「採用時に本人確認を行った従業員」「扶養家族」「それ以外の者」のどれに該当するかによって、本人確認書類が異なる場合が多いため、依頼書は対象者の類型ごとに用意する。
[5]利用目的通知書
利用目的通知書は、独自の様式を用意するよりも、マイナンバー依頼書の中に、利用目的を合わせて記載したほうがよい。必ずしも書面で通知する必要はなく、インターネットなどで公表してもよい。イントラネットでもよいが、扶養家族はイントラネットを閲覧できないと思われるので、イントラネットのみでは扶養家族に対しての通知・公表したことにはならない。別途、文書等の通知など方法を検討する必要がある。
[6]その他
マイナンバー申告書、同意書その他の様式は不要だ。
マイナンバーを取得する際に、特段、必要なわけではないため、従業員には、給与所得者の扶養控除等(異動)申告書などに記入して提出してもらえばよい。社外の個人取引先等については、振込先口座を聞くのと同様の方法でマイナンバーを提出してもらってもよい。もっとも、マイナンバー申告書という様式があっても問題はないので、会社の業務フローなどに合わせて検討していこう。
マイナンバーを取得・利用・外部提供・廃棄などする際に、特段、本人の同意は必要ない。これまでの個人情報では、同意を原則としてきた会社も多いと思うので、この点不思議に思われるかもしれないが、個人情報保護法でも、利用目的に沿った取り扱いは、本人の同意は不要である(個人情報保護法16条1項)。個人情報保護法は、同意よりも利用目的を規律の要としており、利用目的外の取り扱いや、第三者提供について本人の同意を要するという建て付けになっている。
これに対してマイナンバーの場合は、本人の同意の有無を問わず、また利用目的の範囲内か否かよりも厳格な規制が課され、法律で限定された場合以外に、マイナンバーを利用したり外部提供したり保管すること自体ができない。つまり、本人の同意があっても、税務・社会保障手続き以外にマイナンバーを利用できないのである。反対に、本人の同意がなくても、税務・社会保障手続きにマイナンバーを利用できる。本人の保護に欠ける印象を持たれるかもしれないが、マイナンバーは不正防止の効果も持つものなので、本人の同意を要するとすれば、不正行為者からマイナンバーの提供を受けられないなどして、マイナンバーの効果が発揮されないおそれもある。国民の代表である国会の場で議論され、法律という形で正式に決定したルールにのっとっているため、本人の同意は不要という建て付けになっている。
したがって、同意書は特に必要ないが、会社として本人の同意を取得しておきたいという意向があれば、取得しても構わない。重要なのは、本人の同意の有無にかかわらず、マイナンバー法の範囲内でしかマイナンバーを取り扱えないということである。この点は十分に注意しよう。
3 事務取扱担当者(マイナンバー担当者)の監督・教育
会社で従業員にマイナンバーをはじめとする個人データを取り扱わせる際は、会社は従業員(事務取扱担当者)に対する監督を行わなければならない(個人情報保護法21条)[図表6]。
[図表6]マイナンバー担当者の監督・教育を行う上で気を付けたいポイント
[1]ルール
マイナンバー担当者を監督するには、まずマイナンバー担当者が守るべきルールを決める。この守るべきルールには、当然、マイナンバー法、個人情報保護法、ガイドラインが含まれる。といっても、法律の専門家でないマイナンバー担当者がこれらを見て、従うように言われても、具体的に何に気を付ければよいのか分からない場合も多いと考えられる。そのため会社では、マイナンバー担当者がマイナンバーを取り扱うに当たって、どのような取り扱いが認められ、何に気を付ければよいのかを、[図表2]のように取扱規程としてまとめ、従業員に周知しよう。
[2]点検
運用が始まった後に、正しい運用が行われているか点検する。点検内容としては、上記ルールが守られているか、不審な取り扱いがないか等が考えられる。この点検に当たって有用となるツールが、「特定個人情報管理台帳」と「ログ・記録」である。「特定個人情報管理台帳」を見て、誰が、どのようなマイナンバーを管理しているかを確認し、「ログ・記録」を見て、誰が、どのようにマイナンバーを取り扱っているかを確認しよう。
また、台帳や記録以外にも、担当者その他の者にヒアリングなどして、日々の取り扱いを確認しよう。ヒアリングの際は、正しい運用がなされているかという点のほか、現状のルールや体制等に問題がないかもチェックするとよい。マイナンバーを日々取り扱っている従業員として困っていること、現状のルールや管理体制等では問題がないか、不正・漏えいの兆しはないかなどを確認していく。
[3]教育
従業員教育というと、研修が代表的であろう。研修を受講すると、マイナンバーに関する体系的な理解が得られ、マイナンバーを実際に取り扱う際の参考になると考えられる。しかし、一般的な解説を聞くだけの研修では、従業員が「自分がやるべきこと」を理解できずに終わってしまうおそれもある。そこで、従業員教育として、自分の業務の中で具体的に何に気を付ければよいか、自社の取扱規程をマイナンバー担当者に対して説明するとよい。業務の中で自分がやるべきこと、やってはいけないことを理解できるような教育を行う。
さらに、マイナンバーをはじめとする個人情報の不正事案に関する新聞報道などを基に、他社における事例を解説するなどマイナンバー担当者がマイナンバー保護、個人情報保護を身近なこととして捉えられるような研修内容にすることが望ましい。
また、研修は一度行えばよいというものではなく、マイナンバーを取り扱う以上、定期的に行うことが求められる。さらに研修はマイナンバー担当者に対してのみ実施すればよいものではない。担当者以外は、原則としてマイナンバーを取り扱うことができないため、その点も含め、全従業員に周知することが求められる。
4 まとめ
上記のとおり、マイナンバーに関する規程・様式として、多種類のものを用意する必要はない。必要なものを限定して、その内容を充実させることが重要である。せっかく時間をかけて規程・様式を作成するので、マイナンバー担当者への監督や教育などの運用に役立つ規程・様式を作成していこう。特に、取扱規程はこれを基に、従業員教育や監督ができるレベルに具体化することが望まれる。
【編集部より】
本連載は今回で最終回となります。全8回までご愛読をいただき、誠に有り難う
ございました。
 |
水町 雅子 みずまち まさこ 五番町法律事務所 弁護士 元内閣官房社会保障改革担当室参事官補佐 東京大学教養学部卒業後、現みずほ情報総研にてシステム関連業務に従事。東京大学法学政治学研究科法曹養成専攻を経て、西村あさひ法律事務所にてシステム案件・ファイナンス案件・企業法務案件に従事。その後、内閣官房社会保障改革担当室、特定個人情報保護委員会にて、マイナンバー法立法作業、プライバシー影響評価(特定個人情報保護評価)立案等に従事。現在は、五番町法律事務所を開設。 |