たぶんこんな感じ
【準備する】
http://www.gov-online.go.jp/tokusyu/mynumber/corp/
の必要な準備より
1.マイナンバーを適切に扱う為の社内規程作り
→基本方針と取扱規程を作成することになっているが、
それらは、安全管理措置を考慮しなければならないので、
まず、安全管理措置の手順に沿って検討し、
その成果を社内規程に反映する。
1.1 安全管理措置の検討
→手順は
特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
の別添49ページに記載有
1.1.1 個人番号を取り扱う事務の範囲の明確化
どの事務作業で個人情報を扱うかを明確にする。
具体的には、現時点では、税金と、社会保障のはずで、
税金については
国税分野における社会保障・税番号制度導入に伴う各種様式の変更点
http://www.nta.go.jp/mynumberinfo/pdf/mynumber_modification.pdf
社会保障に関しては
社会保障・税番号制度の導入に向けて(社会保障分野)~事業主の皆様へ~
http://www.mhlw.go.jp/file/06-Seisakujouhou-12600000-Seisakutoukatsukan/0000082038.pdf
に現行、どの申請書がどのように変わるかが書かれているので、
そのうち、会社でどの書類を使っているかを確認し、明確化する
→作り方(=どのソフトを使っているか、手書きかなど)も
明確にしておいたほうが良いと思う
1.1.2. 特定個人情報等の範囲の明確化
上述1.1.1で明確化した各申請書において、
・だれの個人番号を記入しているか
(従業員、アルバイト、扶養家族、個人事業主の場合事業主)
・その個人番号と関連付けて管理される個人情報はなにか?
(生年月日、氏名、社員番号、年金番号等など)
を確認する
→これを怠ると、あとでシステム設計のときに困る。
1.1.3.事務取扱担当者の明確化
これらの事務を行う人を明確化する
(ただし、このあとで組織だって検討するので、ここで検討しなくても
いいと思うけど、手順では、こうなっている)
1.2 基本方針と取扱規程の作成
1.2.1 基本方針の策定
雛形を参考にするもよし
<雛形の例>
マイナンバー法(番号法)に基づく社内規程案・委託契約書案の公表について
基本方針案
http://www.miyake.gr.jp/sites/default/files/attached/topics/1_basic_policy_for_specified_personal_information.pdf
このほか、本屋さんに売っていたりする・・・
1.2.2 取扱規程等の策定
具体的に、1.1.1で利用することを決めた各書類に対して、
① 取得する段階
② 利用を行う段階
③ 保存する段階
④ 提供を行う段階
⑤ 削除・廃棄を行う段階
の各段階において、
組織的安全管理措置、
人的安全管理措置、
物理的安全管理措置、
技術的安全管理措置
の各視点から、
どのように取り扱うのかを決める。
このとき、中小事業者は特例が有る。
それぞれの雛形の例
取扱規程案(非中小規模事業者用)
http://www.miyake.gr.jp/sites/default/files/attached/topics/2_rules_on_protection_for_specified_personal_information_for_non_sme.pdf
取扱規程案(中小規模事業者用)
http://www.miyake.gr.jp/sites/default/files/attached/topics/3_rules_on_protection_for_specified_personal_information_for_sme.pdf
具体的に検討すべき安全管理措置の内容は、
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
の別添に書かれている
1.3 社内規程
基本方針と取扱規程で決めたことが会社の他の社内規程(職務規程、セキュリティポリシー等)や契約に関連していれば、それも修正する
雛形の例
委託契約書案
http://www.miyake.gr.jp/sites/default/files/attached/topics/4_outsorcing_agreement_for_specified_personal_information.pdf
2.マイナンバーに対応したシステム開発や改修
人事給与関係のパッケージソフトを導入している場合はアップデートやアドインで
マイナンバー対応をする
自社で開発している場合は、それなりの追加機能が必要
(マイナンバーのテーブルは既存のマスタ系テーブルと別テーブルにしておいたほうが安全)
改修作業は、以下のとおり
・マイナンバーのDB管理(入力・修正など)部分
→入力するのは(支払い調書がるので)社員だけとは限らない
また、扶養家族は何人いるかわからない。
・マイナンバーと既存のテーブルとのJOIN
→マイナンバーテーブルに既存テーブルのキーを持ったほうが、
改修工数は少ないかな?
・マイナンバーによる帳票変更
3.特定個人情報の安全管理措置の検討
対応の検討自体は「1.2.2 取扱規程等の策定」で行っている。
ここでは、そこで決めた対応内容をどう実現するかを検討する
例えば、監督体制をどうするか
シスログの監視というのは、誰が何時どうやって行うか(Zabbixで自動?)
マイナンバー使用区域をどう管理するか(パソコンはどうやって管理する?)
漏洩防止のためのアンチウィルスは、どこにどうやって入れるか
ドキュメントは何処で保管し、どう管理するか
ドキュメントの廃棄に問題は無いか?廃棄の管理は出来ているか
→そんなシュレッダーで大丈夫か?(見えないくらい細かくしないといけない)
アクセス制御として、具体的にはマイナンバー使用区域のWAFやルーターの設定は?
4.社内研修・教育の実施
「1.マイナンバーを適切に扱う為の社内規程作り」で決めた
各社マイナンバー対応の内容を社員に教育する
とくに、マイナンバー4か条を周知するように!!
①取得・利用・提供のルール、
②保管、廃棄のルール
③委託のルール
④安全管理措置のルール
【運用する】
http://www.gov-online.go.jp/tokusyu/mynumber/corp/
の「個人番号の流れ」より
5.取得
従業員などからマイナンバーを取得する。
(通常は)雇用・契約のタイミングで以下の手順で行う
5.1【企業→従業員など】目的提示
企業側が利用目的を提示し、従業員にマイナンバーを
(扶養家族も含めて)教えてくれるよう要請する
5.2【従業員】 マイナンバーを集める
扶養家族も
5.3【従業員など→企業】マイナンバーを教え、本人確認書類提示
このとき、従業員が拒否する可能性もある
本人確認書類
通知カード(またはマイナンバー入り住民票)+運転免許証
または
個人番号カード
5.4【企業】本人確認
本人を確認して、マイナンバーをシステムに入力する
5.5【企業】拒否された場合
従業員などにマイナンバーを教えることを拒否された場合
関係省庁(税務署など)に言って、指示を仰ぐ
6.利用提供
必要なときに、マイナンバー入りの申請書などを出力し、提出する
必要でないのに、マイナンバーが入っている場合、マスキングする
例:源泉徴収票をローンを組んだときに提出する場合
(税理士などで)再委託する場合は、委託元(企業)に承認を得る
マイナンバーを利用した場合、ログなり記録なりが残るようにする
7.保管
書類保存期間保管する
8.訂正など
雇用したときにマイナンバーを集めるが、その後扶養家族が増えた場合
マイナンバーを追加する。家族が(離婚したりして)減ったら削除する
離婚して名字が変わった場合は、システム設計方法による
→名前をマイナンバーテーブルに入れているか、従業員テーブルに入れているかによる
漏洩がない限り、マイナンバーは変わらない
9.廃棄
保管期間が過ぎたら廃棄する
廃棄とは、書類そのものを廃棄することのほか、マイナンバー部分だけをマスキングすることも含む
→いままでは、保管期間を過ぎても、かならずしも書類は廃棄しなくても良かったが、
マイナンバーが入っているものは一定期間後廃棄する。
廃棄したら、記録を残す
※5~9の各内容は、準備のときに、決まっているはずである。
【準備する】
http://www.gov-online.go.jp/tokusyu/mynumber/corp/
の必要な準備より
1.マイナンバーを適切に扱う為の社内規程作り
→基本方針と取扱規程を作成することになっているが、
それらは、安全管理措置を考慮しなければならないので、
まず、安全管理措置の手順に沿って検討し、
その成果を社内規程に反映する。
1.1 安全管理措置の検討
→手順は
特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
の別添49ページに記載有
1.1.1 個人番号を取り扱う事務の範囲の明確化
どの事務作業で個人情報を扱うかを明確にする。
具体的には、現時点では、税金と、社会保障のはずで、
税金については
国税分野における社会保障・税番号制度導入に伴う各種様式の変更点
http://www.nta.go.jp/mynumberinfo/pdf/mynumber_modification.pdf
社会保障に関しては
社会保障・税番号制度の導入に向けて(社会保障分野)~事業主の皆様へ~
http://www.mhlw.go.jp/file/06-Seisakujouhou-12600000-Seisakutoukatsukan/0000082038.pdf
に現行、どの申請書がどのように変わるかが書かれているので、
そのうち、会社でどの書類を使っているかを確認し、明確化する
→作り方(=どのソフトを使っているか、手書きかなど)も
明確にしておいたほうが良いと思う
1.1.2. 特定個人情報等の範囲の明確化
上述1.1.1で明確化した各申請書において、
・だれの個人番号を記入しているか
(従業員、アルバイト、扶養家族、個人事業主の場合事業主)
・その個人番号と関連付けて管理される個人情報はなにか?
(生年月日、氏名、社員番号、年金番号等など)
を確認する
→これを怠ると、あとでシステム設計のときに困る。
1.1.3.事務取扱担当者の明確化
これらの事務を行う人を明確化する
(ただし、このあとで組織だって検討するので、ここで検討しなくても
いいと思うけど、手順では、こうなっている)
1.2 基本方針と取扱規程の作成
1.2.1 基本方針の策定
雛形を参考にするもよし
<雛形の例>
マイナンバー法(番号法)に基づく社内規程案・委託契約書案の公表について
基本方針案
http://www.miyake.gr.jp/sites/default/files/attached/topics/1_basic_policy_for_specified_personal_information.pdf
このほか、本屋さんに売っていたりする・・・
1.2.2 取扱規程等の策定
具体的に、1.1.1で利用することを決めた各書類に対して、
① 取得する段階
② 利用を行う段階
③ 保存する段階
④ 提供を行う段階
⑤ 削除・廃棄を行う段階
の各段階において、
組織的安全管理措置、
人的安全管理措置、
物理的安全管理措置、
技術的安全管理措置
の各視点から、
どのように取り扱うのかを決める。
このとき、中小事業者は特例が有る。
それぞれの雛形の例
取扱規程案(非中小規模事業者用)
http://www.miyake.gr.jp/sites/default/files/attached/topics/2_rules_on_protection_for_specified_personal_information_for_non_sme.pdf
取扱規程案(中小規模事業者用)
http://www.miyake.gr.jp/sites/default/files/attached/topics/3_rules_on_protection_for_specified_personal_information_for_sme.pdf
具体的に検討すべき安全管理措置の内容は、
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
の別添に書かれている
1.3 社内規程
基本方針と取扱規程で決めたことが会社の他の社内規程(職務規程、セキュリティポリシー等)や契約に関連していれば、それも修正する
雛形の例
委託契約書案
http://www.miyake.gr.jp/sites/default/files/attached/topics/4_outsorcing_agreement_for_specified_personal_information.pdf
2.マイナンバーに対応したシステム開発や改修
人事給与関係のパッケージソフトを導入している場合はアップデートやアドインで
マイナンバー対応をする
自社で開発している場合は、それなりの追加機能が必要
(マイナンバーのテーブルは既存のマスタ系テーブルと別テーブルにしておいたほうが安全)
改修作業は、以下のとおり
・マイナンバーのDB管理(入力・修正など)部分
→入力するのは(支払い調書がるので)社員だけとは限らない
また、扶養家族は何人いるかわからない。
・マイナンバーと既存のテーブルとのJOIN
→マイナンバーテーブルに既存テーブルのキーを持ったほうが、
改修工数は少ないかな?
・マイナンバーによる帳票変更
3.特定個人情報の安全管理措置の検討
対応の検討自体は「1.2.2 取扱規程等の策定」で行っている。
ここでは、そこで決めた対応内容をどう実現するかを検討する
例えば、監督体制をどうするか
シスログの監視というのは、誰が何時どうやって行うか(Zabbixで自動?)
マイナンバー使用区域をどう管理するか(パソコンはどうやって管理する?)
漏洩防止のためのアンチウィルスは、どこにどうやって入れるか
ドキュメントは何処で保管し、どう管理するか
ドキュメントの廃棄に問題は無いか?廃棄の管理は出来ているか
→そんなシュレッダーで大丈夫か?(見えないくらい細かくしないといけない)
アクセス制御として、具体的にはマイナンバー使用区域のWAFやルーターの設定は?
4.社内研修・教育の実施
「1.マイナンバーを適切に扱う為の社内規程作り」で決めた
各社マイナンバー対応の内容を社員に教育する
とくに、マイナンバー4か条を周知するように!!
①取得・利用・提供のルール、
②保管、廃棄のルール
③委託のルール
④安全管理措置のルール
【運用する】
http://www.gov-online.go.jp/tokusyu/mynumber/corp/
の「個人番号の流れ」より
5.取得
従業員などからマイナンバーを取得する。
(通常は)雇用・契約のタイミングで以下の手順で行う
5.1【企業→従業員など】目的提示
企業側が利用目的を提示し、従業員にマイナンバーを
(扶養家族も含めて)教えてくれるよう要請する
5.2【従業員】 マイナンバーを集める
扶養家族も
5.3【従業員など→企業】マイナンバーを教え、本人確認書類提示
このとき、従業員が拒否する可能性もある
本人確認書類
通知カード(またはマイナンバー入り住民票)+運転免許証
または
個人番号カード
5.4【企業】本人確認
本人を確認して、マイナンバーをシステムに入力する
5.5【企業】拒否された場合
従業員などにマイナンバーを教えることを拒否された場合
関係省庁(税務署など)に言って、指示を仰ぐ
6.利用提供
必要なときに、マイナンバー入りの申請書などを出力し、提出する
必要でないのに、マイナンバーが入っている場合、マスキングする
例:源泉徴収票をローンを組んだときに提出する場合
(税理士などで)再委託する場合は、委託元(企業)に承認を得る
マイナンバーを利用した場合、ログなり記録なりが残るようにする
7.保管
書類保存期間保管する
8.訂正など
雇用したときにマイナンバーを集めるが、その後扶養家族が増えた場合
マイナンバーを追加する。家族が(離婚したりして)減ったら削除する
離婚して名字が変わった場合は、システム設計方法による
→名前をマイナンバーテーブルに入れているか、従業員テーブルに入れているかによる
漏洩がない限り、マイナンバーは変わらない
9.廃棄
保管期間が過ぎたら廃棄する
廃棄とは、書類そのものを廃棄することのほか、マイナンバー部分だけをマスキングすることも含む
→いままでは、保管期間を過ぎても、かならずしも書類は廃棄しなくても良かったが、
マイナンバーが入っているものは一定期間後廃棄する。
廃棄したら、記録を残す
※5~9の各内容は、準備のときに、決まっているはずである。
アクセス
トータル
ランキング
