確定給付企業年金　ＤＢパッケージプランのご提案

企業年金のマイナンバーの取扱いに

関する厚労省通知について

平成２７年１０月

日本生命保険相互会社

本資料は、作成時点における信頼できる情報にもとづいて作成されたものですが、その情報の確実性を保証するものではありません。 本資料に含まれる会計・税務・法律等の取扱いについては、公認会計士・税理士・弁護士等にご確認のうえ、貴団体自らご判断ください。 ホームページアドレス http://www.nenkin.nissay.co.jp/info/report.htm ◇Ｈ２７．１０．１４ 日本生命保険相互会社 団体年金コンサルティング課 発行（日本年基201510-170-0629 D）

目 次

通知の概要について・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ １

個人番号取得事務について・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ２

法定調書等記載事務について・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ５

安全管理措置について・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ７

委託契約について・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ １３

Ｑ＆Ａについて・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ １７

○特定個人情報 個人番号をその内容に含む個人情報をいう。 ○特定個人情報等 個人番号及び特定個人情報をいう。 ○個人番号利用事務 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第９条第１項又は第２項の規定によりその保有する 特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。

【用語の定義】

通知の概要について

通知は、法令、ガイドラインを受けて、企業年金等に関する特定個人情報の取扱いを定めている。具体的

には「個人番号取得事務」「法定調書等記載事務」「安全管理措置」「委託契約」の４点を規定している。

１

■ 法 令

■ ガイドライン

■ 通 知

NEW

・法令、ガイドラインを受けて、企業年金等に関する特定個人情報の取扱いを定めたもの。具体的には、主に次の４つを規定

個人番号取得事務 （Ｐ２～４参照）

法定調書等記載事務 （Ｐ５～６参照）

安全管理措置 （Ｐ７～１２参照）

委託契約 （Ｐ１３～１６参照）

・・・個人番号を取得する事務 ・・・取得した個人番号を法定調書等に記載する事務 ・特定個人情報の適正な取扱いを確保するための具体的な指針を定めたもの ・企業年金（ＤＢ・ＤＣ・厚年基金）では、年金・一時金に関する次の法定調書等を作成する事務について、特定個人情報を利用 できるとされている （今後、省令が改正されて正式に決定）

所得税

・支払調書 _{・源泉徴収票}

地方税

・公的年金等支払報告書 _{・特別徴収票}

相続税

・支払調書

個人番号取得事務について

通知では、ＤＢ・厚年基金の「個人番号取得事務」について、具体的な取扱いを定めている。

（注）ＤＣでは、個人番号は運営管理機関経由で記録関連運営管理機関が収集するため、企業年金自身には｢個人番号取得事務｣は発生しない

_。

２

■ 個人番号取得事務

ＤＢ・厚年基金

（１）本人から取得する場合

個人番号 提供 法定調書等 の提出 個人番号 収集 本人確認 １ ２ ３ 法定調書等に 個人番号記載 ４ ５ 企業年金 生保・信託 税務当局 受給権者等 仕組み 通知の 内容 ・厚年基金が発行する「加入員証」は、厚年基金が認める場合に 限り、本人確認書類として取り扱われること（４ページ参照） ・「ガイドライン」に則ること（４ページ参照） ・利用目的及び利用時期等について母体企業が本人に予め明示す るよう依頼すること ・収集時期については、特定個人情報の漏えいの危険性を踏まえ 適切に判断すること

NEW

（２）母体企業から取得する場合

個人番号 提供 法定調書等 の提出 個人番号 収集 本人確認 ３ ２ ４ 法定調書等に 個人番号記載 ５ ６ 企業年金 生保・信託 税務当局 受給権者等 母体企業 個人番号収集 １ 委託 契 約 ※「法定調書等記載事務」（Ｐ５～６）については、「（１）生保・信託に委託する場合（Ⅱ型の団体）」を例として記載 委託契約 委託契約

３

ＤＢ・厚年基金（続き）

（３）連合会から取得する場合

仕組み 通知の 内容 個人番号 提供 法定調書等 の提出 ３ 法定調書等に 個人番号記載 ４ ５ 生保・信託 税務当局 連合会 個人番号収集 １

NEW

ＤＣ

地方公共団体 情報システム機構 省令改正前のため、通知内容は未定 個人番号 収集 ２ 企業年金 委託 契 約 個人 番号 提供 法定調書等 の提出 個人番号 収集 本人 確認 １ ３ ２ 法定調書等 に個人番号記載 ５ ６ 企業年金 運営管理 機関 税務当局 受給権者等 資産管理 機関 個人 番号 提供 ４ 個人番号は運営管理機関経由 で、記録関連運営管理機関が 収集するため、企業年金が 個人番号に関わることはない 企業年金自身には、「個人番号取得事務」は発生しない 記録関連 運営管理 機関 委託契約 委託契約 （注）ＤＣでは、ＤＢ・厚年基金とは異なり、記録関連運営管理機関で給付の裁定を行う ため、企業年金ではなく、記録関連運営管理機関が受給権者等から運営管理機 関経由で個人番号を収集する。 （注）運営管理機関を介さずに、記録関連運営管理機関が直接、受給権者等から個人 番号を収集する場合もある。 委託契約

４

＜参考：個人番号の取得に関して、「ガイドライン」で求められている内容＞

個人番号を提供する者 【特定個人情報の提供制限】 ・番号法で限定的に明記された場合を除き、特定個人情報の提 供は不可 個人番号の提供を受ける者 【個人番号の提供の要求】 ・個人番号利用事務等を処理するために必要がある場合に限っ て、本人などに対して個人番号の提供を求めることが可能 【個人番号の提供の求めの制限】 ・番号法で限定的に明記された場合を除き、個人番号の提供を 求めることは不可 【収集・保管制限】 ・番号法で限定的に明記された場合を除き、特定個人情報の収 集は不可 【本人確認】 ・本人から個人情報の提供を受けるときは、個人番号カードの 提示等、番号法で認められた方法での本人確認が必要

＜参考：本人確認書類＞

番号確認書類 身元確認書類 「個人番号カード」の提示を 受ける場合 「通知カード」の提示を 受ける場合 上記以外 個人番号カード 通知カード 運転免許証

or

パスポート _など 通知カード 次のうち、２以上の書類 年金手帳

or

厚年基金の加入員証 など 住民票の写しなど 運転免許証

or

パスポート など

NEW

法定調書等記載事務について

通知では、ＤＢ・厚年基金の「法定調書等記載事務」について、生保・信託に委託せず、企業年金自身で

記載する場合（いわゆるⅠ型の団体）の具体的な取扱いを定めている。

（注）ＤＢ・厚年基金で生保・信託に委託する場合（Ⅱ型の団体）やＤＣでは、企業年金自身には「法定調書等記載事務」は発生しない。

５

■ 法定調書等記載事務

ＤＢ・厚年基金

（２）企業年金自身で記載する場合（Ⅰ型の団体）

法定調書等 の提出 法定調書等に 個人番号記載 ４ ５ 企業年金 _税務当局 仕組み 通知の 内容 ・作業中に他の者から特定個人情報等が見えないようにすること （仕切られた空間で限られた者のみが個人番号を扱うなど） ・パソコンで、法定調書等に特定個人情報等を記載する場合 →紛失が起きないよう、印刷された用紙の枚数を確認すること ・人の手で、法定調書等に特定個人情報等を記載する場合 →紛失が起きないよう、作業前後で書類の枚数を確認すること

（１）生保・信託に委託する場合（Ⅱ型の団体）

NEW

企業年金自身には、「法定調書等記載事務」は発生しない 個人番号 提供 法定調書等 の提出 4 法定調書等に 個人番号記載 5 ６ 企業年金 生保・信託 税務当局 ※「個人番号取得事務」（Ｐ２～４）については、「（２）母体企業から取得する場合」を例として記載 個人番号 収集 本人確認 ３ ２ 受給権者等 母体企業 個人番号収集 １ 個人番号 収集 本人確認 ３ ２ 受給権者等 母体企業 個人番号収集 １ 委託 契 約 委託 契 約 委託契約

６

ＤＣ

仕組み 通知の 内容

NEW

個人 番号 提供 法定調書等 の提出 個人番号 収集 本人 確認 １ ３ ２ 法定調書等 に個人番号 記載 ５ ６ 企業年金 運営管理 機関 税務当局 受給権者等 資産管理 機関 個人 番号 提供 ４ 記録関連 運営管理 機関 委託契約 委託契約 企業年金自身には、「法定調書等記載事務」は発生しない

安全管理措置について

通知では、企業年金等、個人番号を利用する者が、個人番号の適切な管理のために講じる必要がある「安

全管理措置」について、具体的な取扱いを定めている。

７

１．個人番号を取り扱う事務の範囲の明確化 ２．１で明確化した事務に用いる特定個人情報等の範囲を明確化 ３．１で明確化した事務に従事する事務取扱担当者を明確化 ４．基本方針の策定 ５．取扱規程等の策定

ＤＣ

ＤＣの事業主は個人番号を扱わないため、対応不要

■ 安全管理措置の検討手順

ＤＢ・厚年基金

・以下の手順で安全管理措置を検討 （＝「ガイドライン」に記載されている内容が、「通知」でも改めて明記されている）

８

項 目 ガイドラインの内容 通知の内容（＝ガイドラインの具体的取扱い） 組織的安全管理措置 組織体制の整備 ・安全管理措置を講ずるための組織体 制を整備 取扱規程等に基づく 運用 ・取扱規程等に基づく運用状況を 確認するための、システムログ・ 利用実績を記録 ・システムログ、利用実績を記録すること ・システムログ、利用実績の記録は、１年程度保存すること 取扱状況を確認する 手段の整備 ・特定個人情報ファイルの取扱状況を 確認するための手段を整備 情報漏えい等事案に 対応する体制の整備 ・情報漏えい等の事案の発生・兆候を 把握した場合に、適切・迅速に対応 するための体制を整備 取扱状況の把握及び 安全管理措置の見直し ・特定個人情報等の取扱状況を把握し た上で、安全管理措置を評価・ 見直し・改善

ＤＢ・厚年基金

■ 安全管理措置の内容

・・・・・・・・・・・・ ・・・・・・・・・・・・ ・・・・・・・・・・・・ ・・・・・・・・・・・・ ・・・・・・・・・・・・ ・・・・・・・・・・・・ ・・・・・・・・・・・・ 記 録 1年程度保存

NEW

・団体が講ずる必要がある安全管理措置の内容は、次のとおり （「通知」では、「ガイドライン」の具体的な取扱いを定めている）

９

項 目 ガイドラインの内容 通知の内容（＝ガイドラインの具体的取扱い） 人的安全管理措置 事務取扱担当者の 監督 ・特定個人情報等が適正に取り扱われ るよう、事務取扱担当者に対する必 要かつ適切な監督を実施 事務取扱担当者の 教育 ・事務取扱担当者に対する、特定個人 情報等の適正な取扱いの周知 徹底・適切な教育を実施 物理的安全管理措置 特定個人情報等を取り 扱う区域の管理 ・「管理区域※１_{」「取扱区域}※２_」を 明確化 機器・電子媒体等の 盗難等の防止 ・特定個人情報等を取り扱う機器、 電子媒体、書類等の盗難・紛失等を 防止 【パソコン上での特定個人情報等の保存】 ・パスワードをかけ、または暗号化して保存すること ・パスワードは定期的に変更すること 【電子媒体への特定個人情報等の保存】 ・パスワードをかけ、または暗号化して保存するとともに、 鍵のついた金庫などに保管すること ・保管状況を定期的（１週間に１回等）に確認すること ・パスワードは定期的に変更すること 特定個人情報 特定個人情報 ※１ 管理区域：特定個人情報ファイルを取り扱う情報システムを管理する区域 ※２ 取扱区域：特定個人情報等を取り扱う事務を実施する区域

NEW

１０

項 目 ガイドラインの内容 通知の内容（＝ガイドラインの具体的取扱い） 物理的安全管理措置（続き） 電子媒体等を持ち出す 場合の漏えい等の防止 ・容易に個人番号が判明しない措置、 追跡可能な移送手段の利用等を実施 【電子媒体を用いて、特定個人情報等を提供】 ・パスワードをかけ、または暗号化すること ・その上で、施錠できる搬送容器に入れるなどして送付すること ・あとで送付履歴が分かるようにすること 【書面を用いて、特定個人情報等を提供】 ・施錠できる搬送容器に入れるなどして送付すること ・あとで送付履歴が分かるようにすること ・鍵のかかるケースに 入れて送付 ・あとで送付履歴が 分かるようにする 特定個人情報 を含む書面 特定個人情報 ・パスワード設定 暗号化 ・鍵のかかるケースに 入れて送付 ・あとで送付履歴が 分かるようにする

NEW

１１

項 目 ガイドラインの内容 通知の内容（＝ガイドラインの具体的取扱い） 物理的安全管理措置（続き） 個人番号の削除、 機器・電子媒体等の 廃棄 ・次の場合には、個人番号を速やかに 復元できない手段で削除・廃棄 －事務を行う必要がなくなった場合 －法令等の保存期間を経過した場合 ・削除・廃棄した記録を保存 ・委託する場合は、委託先が確実に 削除・廃棄したことを証明書等に より確認 ・次の場合には、特定個人情報等を速やかに削除・廃棄すること －事務を行う必要がなくなった場合 －法令等の保存期間を経過した場合 ・その場合、外部に情報が漏れないよう、十分なセキュリティ措置を 講じること 技術的安全管理措置 アクセス制御 ・情報システムを利用する場合、事務 取扱担当者・特定個人情報ファイル の範囲を限定するため、適切なアク セス制御を実施 ・担当者を予め設定し、担当者以外、当該パソコンは利用しないよう にすること 機器・電子媒体等の 盗難等の防止 ・特定個人情報等を取り扱う情報シス テムは、事務取扱担当者が正当なア クセス権を有する者であることを、 識別した結果に基づき認証 担当者 担当者以外 書面

NEW

１２

項 目 ガイドラインの内容 通知の内容（＝ガイドラインの具体的取扱い） 技術的安全管理措置（続き） 外部からの不正アク セス等の防止 ・情報システムを外部からの不正アク セス・不正ソフトウェアから保護す る仕組みを導入し、適切に運用 ・基幹システム、パソコン等はインターネットから切断すること 情報漏えい等の防止 ・特定個人情報等をインターネット等 により外部に送信する場合、通信 経路における情報漏えい等を防止 【通信を用いて、特定個人情報等を提供】 ・パスワードをかけ、または暗号化すること ・その上で、電子メールではなく、専用回線等のセキュリティが確保 された通信経路※_{で送信すること} インターネット ・パスワードを設定 特定個人情報 ※具体的には以下を想定 ・専用回線等（VPN回線） ・VPN等専用回線に準じたもの ・SSL/TLS等を活用した暗号化による通信 セキュリティが確保された専用回線 電子メール

ＤＣ

ＤＣの事業主は個人番号を扱わないため、対応不要 送 信

NEW

委託契約について

通知では、個人番号を利用する者が、法定調書等の事務について「委託」を行う場合の具体的な取扱いを

定めている。

１３

■ 委託の一般的な取扱い

項 目 ガイドラインの内容 通知の内容 委託 ・委託者は、委託先に対して、「必要かつ 適切な監督」を行う ・法定調書等の事務を委託する場合も、委託先において適切な安全管理措置 が行われるよう「必要かつ適切な監督」を行うこと ・そのために、委託契約には、次の項目を定めた規定が盛り込まれること 再委託 ・委託先は、委託元の許諾を得た場合に限 り、再委託をすることができる ・法定調書等の事務の委託先は、委託元である企業年金の許諾を得た場合に 限り、再委託をすることができること ・再委託の許否については、再委託を受ける者において、特定個人情報等の 適切な安全管理が図られていることを、委託を受けた者を通じて確認する こと 【委託契約に記載する内容】 ・秘密保持義務 ・事業所内からの特定個人情報等の持ち出しの禁止 （但し、委託元又は再委託に伴う場合は除く） ・特定個人情報等の目的外利用の禁止 ・再委託における条件 ・漏洩事案等が発生した場合の委託先の責任 ・委託契約終了後の特定個人情報等の返却又は廃棄 ・特定個人情報等を取り扱う従業者の明確化 ・従業者に対する監督、教育 ・契約内容の遵守状況について報告を求め、必要に応じて委託先に実地の調査を行うこ とができること

NEW

１４

■ 各委託契約ごとの取扱い

ＤＢ・厚年基金

仕組み 通知の 内容

NEW

（１）｢個人番号取得事務｣を母体企業に委託する場合

個人番号 提供 法定調書等 の提出 個人番号 収集 本人確認 ３ ２ ４ 法定調書等に 個人番号記載 ５ ６ 企業年金 生保・信託 税務当局 受給権者等 母体企業 個人番号収集 １ 委 託 契 約 ・委託契約は書面で行うこと ・｢ガイドライン｣で求められている事項（１３ページ参照）に加 えて、次の事項も盛り込むこと －母体企業が企業年金に特定個人情報等を提供する際に、通知 に定められた安全管理措置※_{に則ること} －企業年金は、母体企業から提供された者が要求した者と合致 するか確認し、合致しない場合に母体企業に照会すること 省令改正前のため、通知内容は未定

（２）｢個人番号取得事務｣を連合会に委託する場合

個人番号 提供 法定調書等 の提出 ３ 法定調書等に 個人番号記載 ４ ５ 生保・信託 税務当局 連合会 個人番号収集 １ 地方公共団体 情報システム機構 個人番号 収集 ２ 委 託 契 約 企業年金 ※個人番号の提供方法として、「電子媒体」「書面」を用いる場合の安全管理措置は、Ｐ１０を参照。「通信」を用いる場合の安全管理措置は、Ｐ１２を参照。

・通知では、前ページの委託に関する一般的な取扱いに加えて、委託契約が発生する場合ごとの詳細な取扱いも規定

委託契約 委託契約

１５

ＤＢ・厚年基金（続き）

（３）

｢法定調書等記載事務｣を生保・信託に委託する場合 仕組み 通知の 内容 ・資産管理機関が運営管理機関・記録関連運営管理機関に委託す る場合には、事業主からの許諾を得ること ・委託契約は書面で行うこと ・｢ガイドライン｣で求められている事項（１３ページ参照）に加 えて、次の事項も盛り込むこと －特定個人情報等を保管する者は特定個人情報等を長期的に保 有する可能性を踏まえ、適切なセキュリティの対策を講ずる こと －運営管理機関が記録関連運営管理機関に特定個人情報等を提 供する際に、通知に定められた安全管理措置※_{に則ること} －記録関連運営管理機関は、運営管理機関から提供された者が 要求した者と合致するか確認し、合致しない場合に運営管理 機関に照会すること。運営管理機関は速やかに確認すること

NEW

ＤＣ

個人 番号 提供 法定調書等 の提出 個人番号 収集 本人 確認 １ ３ ２ 法定調書等 に個人番号記載 ５ ６ 企業年金 運営管理 機関 税務当局 受給権者等 資産管理 機関 個人 番号 提供 ４ 記録関連 運営管理 機関 委託契約 委託契約 個人番号 提供 法定調書等 の提出 4 法定調書等に 個人番号記載 5 ６ 企業年金 生保・信託 税務当局 個人番号 収集 本人確認 ３ ２ 受給権者等 母体企業 個人番号収集 １ 委託 契 約 委託契約 （１３ページに記載の委託に関する一般的な取扱いに則る） ※個人番号の提供方法として、「電子媒体」「書面」を用いる場合の安全管理措置は、Ｐ１０を参照。「通信」を用いる場合の安全管理措置は、Ｐ１２を参照。

１６

＜参考：マイナンバーの保管に関する委託＞

・企業年金等は、適切な安全管理措置が講じられていると認められる者に対し、保管を委託することが可能 ・委託の契約は書面で行うこととし、以下の条件を契約に盛り込むこと －保管状況について定期的に報告を求め、必要がある時は委託先に対して実地の調査を行うこと

NEW

全般 １ ・省令改正のパブリックコメントが平成２７年８月２０日から ９月１８日に行われましたが、これが公布されると、通知に も影響するのでしょうか。 ・省令が公布された場合には、その内容を踏まえて通知を改正 することを予定しています。 ２ ・企業年金等に関連する事務として取得した個人番号を、国税 関係事務においてe-Taxで送付すること、地方税関係事務に おいてeLTAXで送付すること等は可能でしょうか。 ・他の行政機関への送付については、当該行政機関の規定に 従ってください。 安全管理措置 ３ ・「外部からの不正アクセス等の防止」（１２ページ参照）の 具体的取扱いとして通知に規定されている「パソコンはイン ターネットから切断する」とは、具体的にどのようにすれば よいのでしょうか。 ・例えば、基幹システムから個人の特定個人情報を別のパソコ ンに映して使用する場合、インターネットに接続していない パソコンを１台用意し、特定個人情報の取り扱いはそのパソ コンでのみ行うことが考えられます。 ４ ・「電子媒体等を持ち出す場合の漏えい等の防止」（１０ペー ジ参照）の具体的取扱いとして通知に規定されている「（電 子媒体・書面を用いて特定個人情報を提供する場合には）送 付履歴がわかるようにする」とはどのようなものが考えられ るでしょうか。 ・簡易書留や配達証明での送付等が考えられます。 ５ ・ＤＢ・厚年基金の「安全管理措置の検討手順」（７ページ参 照）の３番目に挙げられている「事務取扱担当者を明確化」 とは、個人名ではなく、担当部署等の組織名による規定も認 められますか。 ・部署名、事務名（「○○事務担当者」等の規定）等による規 定で事務取扱担当者の範囲が明確になるのであれば、そのよ うな規定も認められます。ただし、部署名等による規定では 事務取扱担当者の範囲が広範すぎて特定できないような場合 には明確になったとはいえず、認められません。 質 問 厚生労働省からの回答

Ｑ＆Ａについて

厚生労働省は、通知発出にあわせて、通知内容に関するＱ＆Ａを示している。

１７

■ Ｑ＆Ａ

NEW