事業者が備えるべきマイナンバー対応のポイント - …マイナンバー（個人番号）はe－TAXのように、個人が特に希望した場合にのみ利用されるものではなく、国民の意志と関係なく、政府

事業者が備えるべきマイナンバー対応のポイント

平成 2 7 年 5 月 1 5 日 JIPDEC（一般財団法人日本情報経済社会推進協会）

マイナンバー対応プロジェクト室

Copyright © 2015 JIPDEC All rights reserved.

Copyright © 2015 JIPDEC All rights reserved

慎重な取扱いが求められる個人番号マイナンバー（個人番号）はｅ－ＴＡＸのように、個人が特に希望した場合にのみ利用されるものではなく、国民の意志と関係なく、政府や地方公共団体とデジタル的に結ばれ、使用される識別番号となる。

一旦、漏えいなどの事故が発生すると、様々な情報が紐づき、国民に精神的・財産的な被害が発生する可能性がある。

1

個人番号税

福祉

固定資産

給与

病歴購買履歴

事故歴・非行歴

様々な情報が紐づいてしまう

学歴


番号法の範囲内でしか使ってはいけない番号法では、個人番号を取り扱う事務を列挙し、その規定された範囲を超えて個人番号を利用することを禁じている。具体的には、番号法の規定に基づかず、他人の個人番号の提供を求めてはならない(番号法15条) 番号法の規定に基づかず、個人番号の情報を提供をしてはならない(番号法19条) 番号法の規定に基づかず、個人番号の情報を収集・保管してはならない(番号法20条)

例えば、顧客管理、従業員管理に個人番号を利用してはいけない。

管理上（システム面、物理面）も通常業務と、個人番号関連事務は分けておく事を推奨

罰則規定（事業者が取り扱う個人情報の量に関わらず、適用）

2

番号法誰が何をどうする刑罰

67条個人番号利用事務等に従事する者、又は従事していた者

業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル（個人番号＋個人情報；複製・加工を含む）

正当な理由が無いのに提供した

4年以上の懲役・200万円以下の罰金（併科有）

68条個人番号利用事務等に従事する者、又は従事していた者

業務に関して知りえた個人番号不正な利益を求め、第三者へ提供した

3年以下の懲役・150万円以下の罰金（併科有）


対応が間に合うのか？【前提】平成27年10月から通知カードによって、各個人へ個人番号が通知される。

3

【対応しなくてはならない書類の例】『扶養控除等申告書』は、平成28年最初の給与の前日までに提出しなくてはならない。

『健康保険・厚生年金保険被保険者報酬月額算定基礎届』に個人番号を記載するため、平成28年7月10日頃までに全従業員の個人番号を収集しておく必要がある。

法定調書には、個人番号や、法人番号を記載する必要が生じる。前者の場合には『本人確認手順』を定めておく必要がある、等


マイナンバーが使われる事務

4


個人番号利用事務と個人番号関係事務

個人番号を取り扱う事務は、番号法で「個人番号利用事務」と「個人番号関係事務」に区分される。

5

種類定義

個人番号利用事務 ●その事務処理に個人番号を利用するもののうち、番号法（番号法別表１）、及び自治体の条例で定められるもの

●その実施を行う者を「個人番号利用事務実施者」という。

個人番号関係事務

●国の行政機関等が行う個人番号利用事務の処理に関して、法律・条令の規定に基づき他人の個人番号を記載した書面の提出等を行う事務

●その実施を行う者を「個人番号関係事務実施者」という。 ●なお、委託を受けた者も個人番号関係事務を処理することから、個人番号関係事務実施者となる。


個人番号対応を求められる対象税等（主に法人）

6

種類記載対象 28年中の対応ケース例平成28年分の対応時期

法定調書平成28年1月1日以降の金銭等の支払に係る法定調書から

●退職所得の源泉徴収票 →退職した日以降１か月以内 ●配当・剰余金の分配、基金利息の支払調書

→支払確定日から１か月以内等

平成28年分の給与所得の源泉徴収票、平成28年分特定口座年間取引報告書 →平成29年1月31日まで

申請書・届出書

平成28年1月1日以降に提出すべき申請書等から

●平成28年中から提出各税法に規定する提出すべき期限から

消費税平成28年1月1日以降に開始する課税期間に係る申告書から

●個人事業者が年の途中で死亡 →相続開始を知った日の翌日か

ら4か月を経過した日の前日まで

（個人）平成28年度分 →平成29年１月1日から3月31日

（法人）平成28年12月決算の場合 →平成29年2月28日まで

酒税・間接諸税

平成28年1月1日以降に開始する課税期間（１月分）に係る申告書から

●平成28年中から提出

平成28年1月分の場合 →平成28年2月1日から2月29日まで

（出典）国税庁ホームページからJIPDEC作成


個人番号対応を求められる対象税等（主に個人）

7

種類記載対象 28年中の対応ケース例平成28年分の対応時期

所得税平成28年1月1日の属する年分以降の申告書から

●年の途中で海外赴任 →出国の時期まで ●年の途中で死亡 →相続開始を知った日の翌日

から4か月を経過した日の前日まで

平成29年2月16日から 3月15日まで

贈与税同上 ●年の途中で死亡 →相続開始を知った日の翌日

から10か月以内

相続税平成28年1月1日以降の相続又は遺贈に係る申告書から

●住所及び居所を有しないこととなるとき

→住所及び居所を有しないこととなる日まで

平成28年1月1日に相続があった事を知った場合 →平成28年11月1日まで

（出典）国税庁ホームページからJIPDEC作成


マイナンバーの取り扱いに関する注意点

8


「ガイドライン」の読み方

政府では、「特定個人情報の適切な取扱いに関するガイドライン（事業者編）」（後述、以下「ガイドライン」）を策定。

個人番号等の情報のライフサイクルに沿って、読み解き、措置を講じる事を推奨

9

（参考URL） http://www.cao.go.jp/bangouseido/ppc/guideline/pdf/261211guideline2.pdf


ガイドラインの記載を絵にすると｡｡｡

10

管理区域を明確に作る・入退室管理・機器持ち込みの禁止等

取扱区域を明確に作る・機器等の盗難防止・間仕切りなど工夫等

事務取扱担当者を決める

本人確認手順（直接、郵送等）

会計事務所、社労士など

委託

従業員（家族含）、株主など

【取扱規定に明記】事務取扱責任者･･･総務課長など事務取扱担当者･･･総務課職員など


ガイドラインで示されている検討手順

11

手順何をやれば良いのかガイドライン参照箇所

個人番号を取り扱う事務の範囲を明確にする

個人番号利用事務（行政機関等に提出する書類に個人番号を記載する事務）を行う部署、システム、業務手順を明確にする。

ガイドライン第4-1-(1)

特定個人情報ファイルの範囲を明確にする

個人番号を記載する事務を行う際に、必要な個人番号等の情報が、どこにどのような形で保存されているかを明確にする。

事務担当者を明確にする個人番号利用事務を行う部署（○○課、○○係など）や、担当（○○担当など）を明確にする。Ｑ＆ＡQ10-1

基本方針及び取扱い規定等を作成する

個人番号を取り扱う事業者として、基本方針（プライバシー・ポリシー、セキュリティ・ポリシーに相当）を作成する。また、上記事務における取扱い規定等を作成する。

ガイドライン別添安全管理措置 2Ab


マイナンバー対応のポイントとしてのリスク管理

12


番号法対応で重要なリスク対策

特定個人情報保護評価で求められていること「個人のプライバシー等の権利権益の保護のために、事前に特定個人情報ファイルの取り扱いに伴う特定個人情報の漏えいその他の事態を発生させるリスクを分析し、それらを軽減するための措置を講じておく」こと民間事業者における特定個人情報保護におけるリスクとは

「個人番号利用事務または個人番号関係事務に携わる従業員等が、特定個人情報ファイルを取り扱う際に処理のミスや事故等を起こすことにより、顧客や従業員等に経済的、精神的等の損失を与え、ひいては当該事業者に対する信頼を毀損してしまう危険性（可能性）」のことをいう。

13


リスクの洗い出し

リスクを洗い出すには、その場面ごとに考えると、整理し易い。

14

場面個人番号では・・・意味特定個人情報を取得する本人確認の上、個人番号を取得する。

移送する集めた個人番号を処理する部署へ渡すなど

利用する個人番号を記載しなくてはならない帳票に、個人番号を記載する。

保存する取得した個人番号が保管されたデータベースは施錠できる部屋（サーバールームなど）に保存している等

提供する取得した個人番号を政府の指示により、ハローワークへ提出する等

削除する、廃棄する（義務規定）

法定保存期間が終了した個人番号が記載された書類等を溶解して廃棄する。


各段階でのリスクの認識

JIS Q 15001:2006に挙げられているリスク漏えい（外に漏れること）滅失（なくなってしまうこと）毀損（壊れること、正確でなくなること）目的外利用特定個人情報の場合、目的外利用は法令違反関連する法令、国が定める指針その他の規範への違反想定される経済的な不利益や社会的な信用の失墜の発生本人への影響の発生

15


（参考）リスク管理の具体例 JIS Q 15001で挙げられている個人情報取り扱いの各局面におけるリスクと、その対策例

16

局面リスクの例対策の例残存するリスクの例

取得・入力漏えい、郵送時の盗難、破壊（滅失・き損等）、改ざん、入力ミス、同意の取り忘れ等

・窓口マニュアル（担当の規定など）・入力チェック手順

受取ミスなど

移送・送信誤送信、盗聴、不達・あて先確認手順・暗号化・追跡可能な移送手段の採用

移送中の盗難など

利用・加工不正出力、内部からの不正アクセス、誤送信、目的外利用、操作ミス、IDの使い回し

・アクセス制御・セキュリティ対策・システムマニュアル

他人のID利用など

保管・バックアップ

紛失、破壊、盗難、改ざん、不正アクセス、ウィルス感染、ファイル交換ソフト、規定違反等

・保管手順・管理台帳の整備（規定）・バックアップ手順

外部からの侵入など

委託・提供輸送時の盗難、破壊、契約上の問題、目的外利用、不正入手

委託先の選定基準（セキュリティ評価等）委託先のリスク

廃棄・消去未処理による放置、再利用、不正持ち出し

・廃棄マニュアル・ハードウェアの破壊等の手順

記録ミスなど


（参考）「特定個人情報保護評価書」のリスク項目

17

地方公共団体が作成する「特定個人情報保護評価書」（全項目評価）で挙げられている特定個人情報の取扱いプロセスにおけるリスク

プロセスリスク項目

情報の入手 1.目的を超えた入手が行われるリスク 2.安全が保たれない方法によって入手が行われるリスク 3.入手した特定個人情報が不正確であるリスク 4.入手の際に情報が漏えい・紛失するリスク

情報の利用 1.目的を超えた紐付、業務に必要のない情報との紐付が行われるリスク 2.権限のない第三者によって不正利用されるリスク 3.従業者が業務外利用をするリスク 4.特定個人情報ファイルが不正に複製されるリスク

情報の委託委託先による不正入手・不正利用に関するリスク委託先による不正提供に関するリスク委託先による保存・消去に関するリスク再委託に関するリスク

情報の移転（委託以外）

1.不正なやりとりがなされるリスク 2.不適切な方法でやりとりされるリスク 3.誤った情報をやりとりしてしまうリスク、誤った相手とやりとりしてしまうリスク

保管・消去 1.特定個人情報の漏えい・滅失・毀損リスク 2.特定個人情報が古い情報のまま保存され続けるリスク 3.特定個人情報が消去（廃棄）されずいつまでも存在するリスク

（参考URL） http://www.cas.go.jp/jp/seisaku/bangoseido/kojinjoho/pdf/tkjhh-7.pdf


リスクの認識におけるポイント

誰が、どこで、どんな時に、何をすることによって上記のリスクが現実になるか具体的に認識することが対策を考えるうえで重要従業員等から提出された個人番号を記載した書類等を取りまとめる担当者が、書類を机上に置いたまま離席した際に、他の人が持ち去るリスク

→ 漏えい従業員等から提出された個人番号を記載した書類等を取りまとめる担当者が、提出者と未提出者とを管理する目的で氏名と個人番号の表をエクセルで作成する

→ 法令違反

18


【参考】『リスクを把握する』とはどういう事か？リスクの対処方法

受容する＝認める転嫁する＝影響や責任の一部または全部を第三者に移す回避する＝対策を打つ

19

リスク

受容する

対策

ゼロにはならない

現実

リスク

受容する

対策

不足部分予算、人の課題

どうするか？


実行性のあるリスク管理のためにはPDCAの実践を

20


対策として考えられるもの

21

対応策メリットデメリット

１プライバシーマークを取得する。

“既にプライバシーマークを取得している情報保有機関については、情報保護評価書にその旨を記述することで、個人情報保護に対して適切な体制を採っていることを宣言することができる”と記載（平成25年度政府「中間整理」他）があり、当該認証によって、特定個人情報を含む安全管理措置が十分であることが対外的に明示できる。

●取得のための資源（ヒト、モノ、カネ）がかかる。

２特定個人情報を取り扱う部署を新設し、その部署においてISMSを取得する。

３自己宣言（自治体の評価書を流用してチェックする等）

●自社のペースで準備ができる。 ●費用も少ない。 ●法人格を持っていなくてもできる。

●事故があった場合に十分な説明ができるかどうか不明

４しっかり管理できる事業者へ委託する。（例：プライバシーマーク付与事業者）

●本人確認、安全管理措置の全て、または一部のリスクを転嫁できる。

●『しっかり管理できる』宣言ができる委託先が必要。


まとめ

22

Copyright © 2015 JIPDEC All rights reserved 23

2015年1月 10月 2016年

国

事業者

通知カード送付カード交付

個人番号を利用する事務の洗い出し

管理体制の整備

社内教育

物理的安全管理措置などの準備（入退室管理等）

システム関連対応（改修、構築等）

PIA

委託先等（会計事務所など）の契約見直し

株主等へ周知

個人番号の取得

本人確認手順等の作成

問い合わせ対応

個人番号の取扱までのスケジュール感


事業者の立場で理解して頂きたいこと

番号法は、個人番号を取り扱う全ての事業者を対象にしている。

直罰規定があり、盗用などが起きた場合に逮捕される。政府から、安全管理措置について、ガイドラインが提示されており、その遵守が求められる。方針の策定取扱規定の整備組織的・物理的・技術的安全管理措置の対応

システムの改修や新規導入を予定されている場合特定個人情報ファイルについて、必要な範囲を超えて利用できないような措置を講じる。

取扱責任者、取扱担当者以外が、照会・出力・更新などができないような措置を講じる。

盗用などの事故が起きないような措置を講じる。

24


準備を始めましょうまずはここから

個人番号を利用する事務を洗い出す。 • 誰が、どこで使うか。

– 「管理区域」（特定個人情報ファイルを取り扱う情報システムを管理する区域）と、「取扱区域」（特定個人情報を取り扱う区域）を明確にし、安全管理措置を採れるか、否か。

• 現在の運用で、目的外に利用される可能性はないか。 • 現在の運用で、漏えいや盗用などが起きる可能性はないか。

スケジュールを作成する。書面・社内掲示板・就業規則等に、目的と共に取得することを明記する準備をする。

• 対応が必要な帳票等を洗い出し、利用目的の説明資料を用意し、同意を取る準備をする等

セキュリティ、プロセスの両面でリスク分析をする。税理士等第三者へ個人番号関連情報を委託している場合

• 契約を確認し、自社が監督者として振る舞えるかどうかを確認する。パッケージソフトを利用している場合

• 個人番号対応というだけでなく、セキュリティ面もしっかり確認する。クラウド利用の場合

• 自社が監督者として振る舞える契約ができるか確認する。

委託業務を生業としている場合自社が個人番号関係も委託できる事業者であることを対外的に示せるように準備を行う。

25


【ご参考】（URL）・社会保障と税番号制度（内閣官房） http://www.cas.go.jp/jp/seisaku/bangoseido/ ・特定個人情報保護委員会 http://www.ppc.go.jp/ ・JIPDEC支援サイト http://www.jipdec.or.jp/project/mynumber_support.html （文献）＜番号法全般＞・岡村久道著『よくわかる共通番号法入門』（商事法務）・水町雅子「番号法による民間企業への実務上の影響（上）」（商事法務NO.2006）・『Q&A マイナンバー制度導入と税理士事務所の体制整備』（月刊税務１月号、ぎょうせい）＜特定個人情報保護評価＞・JIPDEC編『特定個人情報保護評価の進め方』（アマゾン・プリントオンデマンド）・瀬戸洋一他著『プライバシー影響評価PIAと個人情報保護』（中央経済社）

ありがとうございました

26

本件に関する問い合わせ先 JIPDEC マイナンバー対応プロジェクト室 E-mail：[email protected]

Documents

事業者が備えるべき マイナンバー対応のポイント - …マイナンバー（個人番号）はe－TAXのように、個人が特に希望し た場合にのみ利用されるものではなく、国民の意志と関係なく、政府

事業者が備えるべきマイナンバー対応のポイント - …マイナンバー（個人番号）はe－TAXのように、個人が特に希望した場合にのみ利用されるものではなく、国民の意志と関係なく、政府