と,言い訳はこのくらいにして,本題に移りますね。
前回「マイナンバー制度11~基本方針の策定~」では,会社がマイナンバーを扱うにあたって「基本方針」をまず定めましょう,というお話をしました。
今回は,その「基本方針」を具体化した「取扱規程」の策定についてご説明をします。
ガイドライン上は,「従業員100人以下の会社は,取扱規程の策定は義務付けられていない。」ということになっていますが,他方で「マイナンバー等の取扱いについて明確化しておくべきである」とされています。
結局,マイナンバーをどのように扱うかについてきちんとしたルール作りはしないといけないわけですので,従業員数に関わらず取扱規程はちゃんと作成しておきましょう。
むしろ,今回ご紹介する取扱規程のひな形をベースに改良して頂いた方が,かえって手間が省けるかと思います。ひとまず,末尾のワードファイルをダウンロードして頂き,そのWordファイルを片手に今回の記事をご覧ください。
さて,前回もお話ししましたように,取扱規程には
「マイナンバーを『取得』『利用』『保存』『提供』『削除及び廃棄』する各段階において,様々な視点(=組織的・人的・物理的・技術的な視点)からの安全管理措置を盛り込む」
ことが要求されています。
これらの要素を盛り込んだものが,今回ご紹介する書式になります。
前半で各段階ごとの留意点を明記し,後半では各安全管理措置について明記しています。そして,前半の各段階ごとの留意点の中で,後半の各安全管理措置を引用することで,両者をリンクさせています。
以上が,今回のひな形のおおよその立てつけになります。
さて,肝心の規程の内容ですが,ここまでブログの記事(特に「マイナンバー制度5~7」)をお読み頂いた方にとって,前半部分(第3条~第17条)は特段目新しいものではないと思います。他方,後半部分はまだ触れていませんでしたので,ここでご説明をします。
後半部分は,要するに
「マイナンバーが流出しないように,会社の組織体制とか設備をちゃんと整備しましょう。」
「体制の整備にあたっては,各会社ごとに合ったやり方をきちんと決めて,継続的に守れるようにしましょう。」
ということです。
ここで誤解してはならないのは,
「マイナンバーの管理体制をギチギチにすればするほど優れている。」
「管理体制構築のために手間とお金をかければかけるほど良い。」
というわけではない,ということです。
あくまで,その会社の規模・体制に合った仕組みを確立して,その仕組みを継続的に守っていきましょう,というものなのです。(ISOの認証とかをイメージして頂ければ分りやすいと思います)
ですので,各会社の実情からして「うーん,このやり方はうちの会社にはなじまないなあ」「うちの規模でこんな管理体制をとったら仕事にならないよ。」と思ったら,適宜修正して頂いて構いません。(っていうか,してください)第18条以下の挿入コメント(右側に表示されるフキダシ)は,その点を意識して入れてあります。
ただ,その場合も第19条の「台帳作成」・第20条の「取扱実績の記録」自体は省略できませんので,その点だけはお気を付けください。
特に,このひな形はパソコンでマイナンバーを保管することを念頭に置いた規程になっていますが,小規模事業者様の場合は最初から最後まで紙媒体でマイナンバーを保管するということも考えられます。その場合は,保管や廃棄の規程を紙媒体に合ったやり方に差し替えて頂ければよいでしょう。
時勢柄「電子媒体>紙媒体」みたいな風潮がありますが,保管の手間や情報流出の恐れといった点では,紙媒体も捨てたものではないと思います。これはIT素人の個人的な感想に過ぎませんが・・・。
会社ごとに合ったマイナンバーの管理方法を確立できたところで,従業員へ色々な周知をしなくてはなりません。
次回は,「従業員への周知」についてお話ししたいと思います。