マイナンバー制で開業社労士がやるべきこと
通称「マイナンバー法」とは、「番号法」とも呼ばれ「行政手続における特定の個人を識別するための番号の利用等に関する法律」のことを指します。
既にブログで書いたように、平成5年に成立した「個人情報保護法」に比べて、今回の「番号法」の場合、安全管理措置すべき者の対象が広がり、罰則が厳しくなっています。
sakabesharoushi.hatenadiary.jp
社会保険労務士や税理士等は、特定個人情報(マイナンバーをその内容に含む個人情報)を、安全管理措置義務のある事業主から、その取扱いを委託されることになるため、
依頼された事業主や被漏えいの従業員に対して損害賠償責任を負う可能性があります。
従って、開業社会保険労務士が準備し実行しなければならないことが、様々想定されます。
そのために現実的な方法で、特定個人情報の安全管理を効率的に行うことができる最適な方法を、各事務所で模索していかなければなりません。
少なくとも以下の4つの安全管理措置を実施することが必要だとされています。
1)組織的安全管理措置 2)人的安全管理措置
3)物理的安全管理措置 4)技術的安全管理措置
1)組織的安全管理措置
【組織体制の整備】
>事務所の代表者が特定個人情報管理責任者になります。
>取扱う特定個人情報も明確にします。
>情報漏えい等の事案の発生した場合、ルールに従い対応します。
【取扱規定等に基づく運用】
>取扱規定等に基づく運用状況を確認するため、システムログまたは利用実績を記録します。
【取扱状況を確認する手段の整備】
>特定個人情報ファイルの取扱状況を確認するための手段を整備します。
【情報漏えい等事案に対応する体制の整備】
>情報漏えい等の発生または兆候を把握した場合、適切かつ迅速い体制を整備し、また再発防止策を早急に公表します。
【取扱状況の把握および安全管理措置の見直し】
>年1回以上の自主点検の実施、および2~3年に1回外部監査を受ます。
2)人的安全管理措置
【事務取扱担当者の監督】
>特定個人情報管理責任者は事務取扱担当者を管理監督します。
【事務取扱担当者の教育】
>年1回以上の情報セキュリティ教育を受講させます。
3)物理的安全管理措置
【特定個人情報等を取扱区域の管理】
>特定個人情報ファイルを取扱う情報システムを管理する区域(管理区域)および特定個人情報等を取扱う事務を実施する区域(取扱区域)を明確にします。
【機器および電子媒体等の盗難防止等の防止】
>パソコン、電子媒体および書類等の盗難または紛失を防止するために、机上の整理、施錠やスクリーンセーバー等を設定します。
【電子媒体等を持ち出す場合の漏えい等の防止】
>パスワード、封筒に封印等の方策を実施しあす。
【個人番号の削除および機器並びに電子媒体等の廃棄】
>事務を行う必要がなくなったり、定められた保存期間等を経過した場合には、復元できない手段で廃棄し、削除または廃棄した記録を保存します。
>外部に委託する場合には、委託先が確実に削除または廃棄したことについて、証明書等により確認します。
4)技術的安全管理措置
【アクセス制御】
>ID、パスワードを設定し、アクセス制限します。
【アクセス者の識別と認証】
>特定個人情報等を取扱う情報システムは、専用パソコンを使用します。
【外部からの不正アクセス等の防止】
>外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入し、適切に運用します。
【情報漏えい等の防止】
>特定個人情報等をインターネット等により外部に送信する場合、データの暗号化等の措置を講じます。
何だかよく分からないことを書いている、と思われていることは承知していますが、
マイナンバーを取扱うのは責任が重く大変なことなんだ、ということを自分自身で再確認できればいいかな・・・と思っています。
sakabesharoushi.hatenadiary.jp
【情報漏えい等の防止】
また、社会保険労務士事務所における「特定個人情報等の取扱いに関する基本方針」を策定します。そのなかで、安全管理措置に関する事項を決め、番号法関連法令・ガイドラインの遵守を宣言し、質問および苦情処理の窓口を設置します。
そして、事務所内の管理段階(情報取得、利用、提供、保存、廃棄)ごとに、取扱方法、責任者・事務取扱担当者およびその任務について定めます。
また顧問先事業所の就業規則を見直し、従業員に通知等をすることによって、特定個人情報の利用目的を明確にして、従業員に周知し、従業員のマイナンバーの提供を受けなければなりません。
マイナンバーの受け渡しは、従業員の家族から従業員へ委任し、従業員から家族分も含めて事業主へ委任し、事業主から社労士へ委任するという段階がありますが、それぞれの段階で本人確認や、安全、確実な方法で受け渡しが行われる必要があります。
マイナンバーの利用の場面では、取扱う範囲(管理区域、取扱区域等)を明確化し、
パソコンへのログインIDを決め、特定個人情報ファイルの利用、出力、持ち出し、削除、廃棄等の記録を残すようにします。
マイナンバーの保管は手続によって異なった期間が定められているので、当該期間が経過した場合は、速やかに廃棄または削除しなければなりません。
安全管理措置としては、マイナンバーが格納されている管理区域を設定し、施錠できるキャビネットや書庫で保管し、管理簿で管理します。
技術的には、パソコン内にマイナンバーを置かずクラウド内に保管すれば、安全措置がしやすくなります。
個人用パソコンと業務用パソコンを分け、ウィルス対策ソフトウェアを導入し、定期的にログ等の分析を行います。
個人事務所であっても、社労士事務所等のマイナンバーを取扱う機会の多い事業所は、大企業並みの安全管理措置が要求されています。
しっかり対策し、JPDEC(ISOのような機関)の評価を受けたり、新SRPの認証を受けることが、これからの社労士事務所に要求されることでしょうか。