2015年2月13日版
マイナンバー
特定個人情報取扱い
ガイドライン
わかる!
【本資料について】
本内容は、2014年12月末時点の政府などの公開情報をもとに、
当社の解釈にて作成しておりますので、今後の法改正、制度
設計等により変更になる可能性があります。
株式会社ワイイーシーソリューションズ
1.ガイドラインの概要
■
ガイドラインの目的
マイナンバーは、行政を効率化し、国民
の利便性を高め、公平・公正な社会を実
現する社会基盤となる為に導入されるも
のです。
・公平・公正な社会の実現
⇒所得や他の行政サービスの受給状況把握等
・国民の利便性の向上
⇒行政手続きの簡素化、自己情報確認等
・行政の効率化
⇒行政機関、団体間での業務連携、効率化等
しかし、このマイナンバーに対して国民
からの懸念もあります。
ガイドラインは、企業のマイナンバーを含む特定個人情報の取扱い指
針を定めたもので、ガイドラインの中で「しなければならない」及び
「してはならない」と記述している事項については、これらに従わな
かった場合、法令違反と判断される可能性があります。
個人情報が一気に漏えいするのでは?
個人情報を国に一元管理されないか?
「なりすまし」被害にあわないか?
現状
行政分野毎に別々の番号を利用
⇒行政分野間で情報連携不可
税
年
金
福
祉
×
×
×
ソリューション
マイナンバーで行政分野をまた
がった個人の特定と情報連携!
税
年
金
福
祉
マイナンバー
行政運営効率化
1.ガイドラインの概要
■
用語について
●事業主
(個人/法人)
●金融機関
(銀行・保険・証券)
民
官
報告・届出
書面提出
(法定調書)
確認・認可
更正・決定
通知
●行政機関
●地方公共団体
●独立行政法人
●その他
(健康保険組合、
企業年金基金等)
=
=
注)一部民間企業も対象
個人番号関係事務実施者
と
個人番号利用事務実施者
の関係図
以降のページより、ガイドラインの概要に触れていきますが、
下記2つの用語の内容と関係を覚えておきましょう。
個人番号利用事務実施者
個人番号関係事務実施者
マイナンバーを使って番号法や条例で定める行政事務などを処理する
国の行政機関、地方公共団体、独立行政法人など
番号法や条例に基づき個人番号利用事務実施者に、マイナンバーを
記載した書面の提出などを行う人
個人番号
関係事務実施者
個人番号
利用事務実施者
■
「各論」の概要
1.ガイドラインの概要
ガイドラインには、特定個人情報取り扱いについて、7段階
の「各論」が記載されています。
この「各論」をマイナンバー実務のライフサイクルに対比さ
せると下記のようになります。
マイナンバー実務ライフサイクル順に「各論」内容をご案内します。
目次
番号
ガイドライン「第4 各論」
の目次
第4-1 特定個人情報の利用制限
第4-1-(1) 個人番号の利用の制限
第4-1-(2) 特定個人情報ファイルの
作成の制限
第4-2 特定個人情報の安全管理措置等
第4-2-(1) 委託の取扱い
第4-2-(2) 安全管理措置
第4-3 特定個人情報の提供制限等
第4-3-(1) 個人番号の提供の要求
第4-3-(2) 個人番号の提供の求めの制
限、
特定個人情報の提供制限
第4-3-(3) 収集・保管制限
第4-3-(4) 本人確認
第4-4 第三者提供の停止に関する取扱い
第4-5 特定個人情報保護評価
第4-6 個人情報保護法の主な規定
第4-7 個人番号利用事務実施者である健
康保険組合等における措置等
マイナンバー実務
ライフサイクル
取得
安全管理
措置等
保管
利用
廃棄
開示・訂正・
利用停止等
提供
■
「各論」の概要
1.ガイドラインの概要
ガイドライン該当目次
第4-3 特定個人情報の提供制限等
●第4-3-(1)個人番号提供の要求
企業は、社会保障及び税に関する手続書類の作成事務を行う必要が
ある場合に限って、本人などに対してマイナンバー提供を求めるこ
とができます。
●第4-3-(2)個人番号の提供の求めの制限、特定個人情報の提供制限
・企業は、法律で限定的に明記された場合を除き、マイナンバーの
提供を求めてはいけません。
・従業員等の個人は、法律で限定的に明記された場合を除き、特定
個人情報を提供してはいけません。
●第4-3-(3)収集・保管制限
番号法で限定的に明記された場合を除き、特定個人情報を収集して
はいけません。
●第4-3-(4)本人確認
本人確認は、番号法や番号法施行令、番号法規則事務、個人番号利
用事務実施者が認める方法に従う必要があります。
例:個人番号カード提示等
安全管理
措置等
取得
保管
利用
廃棄
開示・訂正・
利用停止等
提供
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー マイナンバー
本人確認
マイナンバー実務
ライフサイクル
該当箇所
■
「各論」の概要
1.ガイドラインの概要
●第4-2-(1)委託の取り扱い
個人番号関係時事務の全部又は一部の委託者は、委託先が自ら
果たすべき安全管理措置と同等の措置が講じられるよう、必要
かつ適切な監督を行わなくてはいけません。
ガイドラインには、委託契約に盛込む内容(※)も決められてい
ます。(再委託、再々委託の取扱いもガイドラインに記載)
※ 秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の
目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託
先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監
督・教育、契約内容の遵守状況について報告を求める規定等
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー マイナンバー
必要かつ
適切な監督
保管
利用
廃棄
開示・訂正・
利用停止等
提供
マイナンバー実務
ライフサイクル
該当箇所
取得
安全管理
措置等
ガイドライン該当目次
第4-2 特定個人情報の安全管理措置等
必要かつ
適切な監督
必要かつ
適切な監督
許諾
許諾
間接的な
監督義務
間接的な
監督義務
マイナンバーを
利用する
事務の委託
■
「各論」の概要
1.ガイドラインの概要
●第4-2-(2)安全管理措置
個人番号関係事務実施者は、特定個人情報の管理や事故(漏洩、
滅失、毀損)の為に、必要かつ適切な安全管理措置をとる必要
があります。
・基本方針の策定
・取扱規定等の策定
・組織的安全管理措置
・人的安全管理措置
・物理的安全管理措置
・技術的安全管理措置
各安全管理措置の詳細は、本書19ページをご参照ください。
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー マイナンバー
保管
利用
廃棄
開示・訂正・
利用停止等
提供
マイナンバー実務
ライフサイクル
該当箇所
取得
安全管理
措置等
ガイドライン該当目次
第4-2 特定個人情報の安全管理措置等
責任者
担
当
者
担
当
者
組織的安全
管理措置 人的安全
管理措置 物理的安全
管理措置 技術的安全
管理措置
取扱規定等
の策定
基本方針
の策定
■
「各論」の概要
1.ガイドラインの概要
●第4-3-(3)収集・保管の制限
特定個人情報は、番号法で限定的に明記された場合を除き、保
管してはいけません。
個人番号が記載されている書類で、所管法令によって一定期間
保存が義務付けられているものは、その期間保管することとな
ります。
<特定個人情報を保管できるケース>
・従業員等、雇用契約等で継続的な関係にある場合
(源泉徴収事務、健康保険・厚生年金保険届出事務等のためにマイナン
バーを翌年度以降も継続的に利用する必要が認められる為)
※従業員が休職中であっても、同様
・土地の賃貸借契約等で継続的な関係である場合
(支払調書の作成事務でマイナンバーが必要の為)
<特定個人情報を保管できないケース>
・従業員の営業成績等の管理を目的としたマイナンバー保管等。
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー マイナンバー
特定個人
情報ファイル
マイナンバー
保管
利用
廃棄
開示・訂正・
利用停止等
提供
マイナンバー実務
ライフサイクル
該当箇所
取得
安全管理
措置等
保管
ガイドライン該当目次
第4-3 特定個人情報の提供制限等
廃棄については、本書15ページを参照ください
■
「各論」の概要
1.ガイドラインの概要
利用
廃棄
開示・訂正・
利用停止等
提供
取得
安全管理
措置等
保管
マイナンバー実務
ライフサイクル
該当箇所
●第4-1-(1)個人番号の利用制限
マイナンバーは、番号法の範囲でのみ利用可です。
本人の同意があっても番号法範囲外での利用は不可。
例)個人番号は社員番号には利用できません
●第4-1-(2) 特定個人情報ファイルの作成の制限
特定個人情報ファイルの作成は、番号法によって限定された
事務(源泉徴収票作成、健康保険、年金関連の事務等)に
限って作成可能です。
例)従業員の個人番号を利用した営業成績管理ファイルは
作成できません
ガイドライン該当目次
第4-1 特定個人情報の利用制限
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー マイナンバー
特定個人
情報ファイル
マイナンバー
利用
■
「各論」の概要
1.ガイドラインの概要
利用
廃棄
開示・訂正・
利用停止等
提供
取得
安全管理
措置等
保管
マイナンバー実務
ライフサイクル
該当箇所
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー マイナンバー
・支払調書
・源泉徴収票
・被保険者資格取得届
A社
営業部
経理部
B社
マイナンバー
利
用
提供
●第4-3-(2) 個人番号の提供の求めの制限、特定個人情報の提供制限
企業が特定個人情報を提供できるのは、社会保障、税及び災害対策
に関する特定の事務のために従業員等の特定個人情報を行政機関等
及び健康保険組合等に提供する場合等に限られます。
マイナンバー
<提供の意義>
「提供」は、法的人格を超える特定個人情報の移動を意味します。
同一法人の内部など、法的人格を超えない特定個人情報の移動は
「提供」ではなく、「利用」になります。
「提供」可能なケース
・A社がB社に給与事務等を委託
・A社がB社に吸収される
ガイドライン該当目次
第4-3 特定個人情報の提供制限等
■
「各論」の概要
1.ガイドラインの概要
利用
廃棄
提供
取得
安全管理
措置等
保管
マイナンバー実務
ライフサイクル
該当箇所
●第三者提供の禁止
特定個人情報が、違法に第三者に提供されていることを知った
本人から、提供停止が求められ、理由があることが判明した時
には、第三者への提供を停止しなくてはいけません。
(適正に運用していれば、第三者への提供停止を求められる事
態にはなりません)
・第三者提供停止が困難であり、かつ本人の権利利益を保護す
る代替措置をとる場合は、提供停止をしないことも認められ
ています。
・“開示・訂正・利用停止”の取扱は、個人情報保護法におけ
る取扱いと同じです(個人情報取扱事業者(※)が対象)。
※個人情報データベース等を事業の用に供している者(国の機関、
地方公共団体、独立行政法人等及び地方独立行政法人を除く。)
であって、個人情報データベース等を構成する個人情報によって
識別される特定の個人の数(個人情報保護法施行令で定める者を
除く。)の合計が過去6か月以内のいずれの日においても5,000
を超えない者以外の者をいう。
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー
マイナンバー
開示・訂正・
利用停止等
ガイドライン該当目次
第4-4第三者提供停止に関する取扱い
開示・訂正・
利用停止等
■
「各論」の概要
1.ガイドラインの概要
利用
廃棄
提供
取得
安全管理
措置等
保管
マイナンバー実務
ライフサイクル
該当箇所
開示・訂正・
利用停止等
民(個人) 民(企業) 官(官公庁等)
※一部民間企業含む
マイナンバー マイナンバー
特定個人
情報ファイル
マイナンバー
保管
●第4-3-(3) 収集・保管制限
マイナンバーは、番号法で明記された事務を処理するた
めに収集保管されるものです。それらの事務を行う必要
がなくなった場合で、所管法令で定められた保存期間を
経過した場合、速やかに廃棄・削除が求められます。
例)扶養控除等申告書の場合、保存期間である7年間を
経過した場合、マイナンバーが記載された申告書は
できるだけ速やかに廃棄しなければなりません。
削除or廃棄
削除or廃棄
の記録
ガイドライン該当目次
第4-3 特定個人情報の提供制限等
・マイナンバーもしくは特定個人情報ファイルを削除した場合、
削除または廃棄した記録を保存する必要があります。
・削除または廃棄の作業を委託する場合、委託先が確実に削除また
は廃棄したことについて証明書等により確認する必要があります。
■
「各論」の概要
1.ガイドラインの概要
個人情報取扱事業者(※)は、特定個人情報の適正な取扱いについて、次の通り
個人情報保護法の適用を受けます。
・利用目的の特定
・利用目的の通知等
・データ内容の正確性の確保
・適正取得
・保有個人データに関する事項の公表等
・開示
・訂正等
・利用停止等
・理由の説明
・開示等の求め次応じる手続
・手数料
・苦情の処理
※個人情報取扱事業者は本書14ページをご参照ください。
●特定個人情報保護評価
情報提供ネットワークシステムを使用して情報連携を行う事業者(※)が、
特定個人情報の漏えい、その他の事態を発生させるリスクを分析し、その
ようなリスクを軽減するための適切な措置を講ずることを宣言するもの。
(情報提供ネットワークは、総務大臣が特定個人情報保護委員会と協議の
上、設置し管理するものです)
※ 健康保険組合など
ガイドライン該当目次
第4-5 特定個人情報保護評価
ガイドライン該当目次
第4-6 個人情報保護法の主な規定
■
「各論」の概要
1.ガイドラインの概要
健康保険組合等の個人番号利用事務実施者は、今までの各論に加え、次の措置
も留意が必要です。
●地方公共団体情報システム機構に対する機構保存本人確認情報についての
提供の要求
個人番号利用事務対象者のマイナンバーが不明であり、利用事務の処理が
必須の場合は、地方公共団体情報システム機構に対してマイナンバー情報
提供を求めることが出来ます。
●情報提供ネットワークシステムによる特定個人情報の情報連携等
行政機関等及び健康保険組合等の間で、特定個人情報について安全かつ効
率的に情報連携を行うためのシステムについて、
「情報提供などの記録」や「秘密の管理等」、「安全性の確保」
などが記載されています。
(情報提供ネットワークは、総務大臣が特定個人情報保護委員会と
協議の上、設置し管理するものです)
ガイドライン該当目次
第4-7 個人番号利用事務実施者である健康保険組合等における措置など
2.特定個人情報に関する安全管理措置
■
安全管理措置について
民間企業がマイナンバーの安全管理措置を検討するに当たり、
以下項目に沿ってガイドラインでは記述されています。
(
従業員数100人以下の中小規模事業者において特例的対応
方法も記載されています
)
基本方針の策定
取扱規定等の策定
組織的安全管理措置
人的安全管理措置
物理的安全管理措置
技術的安全管理措置
・事業者の名称
・関係法令・ガイドライン等の遵守
・安全管理措置に関する事項
・質問及び苦情処理の窓口等
下記のマイナンバー管理段階ごとに取扱い方法、
責任者・事務取扱担当者、その任務等を定める
取得 → 利用 → 保存 → 提供 → 削除・廃棄
・組織体制の整備
・運用状況を確認(システムログ又は利用実績記録)
・情報漏洩事案への体制準備
・監査等による見直し
・事務取扱担当者の監督
・事務取扱担当者の教育
(監督、教育の例:就業規則への盛込みや研修等)
・管理区域への入室管理
・機器、電子媒体の盗難防止
・電子媒体持ち出し時の漏えい防止
・マイナンバーの削除、機器、電子媒体の廃棄
・情報システムへのアクセス制御
・アクセス者の識別と認証
・外部からの不正アクセス防止
■
ガイドライン関連の情報WEBサイト
3.ご参考
●
特定個人情報保護委員会
http://www.ppc.go.jp/index.html
民間企業向けに以下資料が配布されています。
・特定個人情報の適正な取扱いに関するガイ
ドライン(事業者編)
・「特定個人情報の適正な取扱いに関するガ
イドライン(事業者編)」及び
「(別冊)金融業務における特定個人情報
の適正な取扱いに関するガイドライン」に
関するQ&A
●
経団連 WEBサイト
http://www.keidanren.or.jp/policy/2014/105_summary.html#p2
2014年12月9日に開催された「マイナンバー
ガイドライン説明会」の議事要旨が掲載さ
れています。
また、当日配布された資料も掲載されてい
ます。
■
ガイドライン関連の情報WEBサイト
3.ご参考
●
NECマイナンバーインフォメーション
http://jpn.nec.com/mynumber/
当社のマイナンバーインフォメーションサイトです。
当社講演セミナーの関連資料が掲載されて
います。(ダウンロードには無料会員登録
が必要です)
●
内閣府 WEBサイト
http://www.cas.go.jp/jp/seisaku/bangoseido/
マイナンバーの概要資料、広報資料が掲載さ
れています。
また、よくある質問(FAQ)や関係法令も掲
載されています。
■
関連冊子
3.ご参考
マイナンバー制度の概要及び、企業での必要な
取組みについて記載しております。
本書と合わせてお読みくださいますようお願い
いたします。
●
マイナンバー対応お済みですか?
