2016年1月から利用が開始されるマイナンバー、僕の勤める業種では非常に影響の大きい制度なので、強い関心を寄せています。
これについて、12月11日に「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の確定版が、政府機関である特定個人情報保護委員会より公表されました。
同時に、このガイドラインの案の段階で行われていたパブリックコメントの結果についても、寄せられた218もの意見とそれに対する委員会の考え方が並んで記されるかたちで公表されていたので、ひととおり読んでみました。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(案)」に関する意見募集の結果について
参考になる点が非常に多くあった一方で、やはりまだ判然としないガイドも多くあります。
ここでは、特に気になった委員会の回答、もしくは寄せられた意見を、僕のコメントを添えてピックアップしておきます。
→そのとおりだと思うのですが、会社がコスト削減のために安価な運送事業者を指定して、その過失により漏えいしてしまった場合には、トラブルになりそうだなと思います。
→「法律関係等」とあるので、事業者と消費者の間の民事上の契約関係に基づいて個人番号関係事務の発生が予想される場合も含むと解釈できますので、派遣登録だけでも、一定の条件を満たせば提供を受けることが可能と言えそうです。
→「当初の利用目的と相当の関連性を有すると合理的に認められる範囲」って、個人情報保護法第15条を念頭に置いた記述なんだろうけど、ますますよくわからなくなってきました…。同法に関する経済産業分野のガイドラインにある例示を踏まえて考えると、個人番号関係事務すべてが「合理的に認められる範囲」に含まれると捉えられかねないのではないかと。特に、プライバシーマーク取得事業者には通知公表だけでなく同意確認が求められるので、どんな変更について同意を取り直す必要があるのかが曖昧になると非常に厄介です。
→果たして民間事業者の実態はそうなのか、疑問に思います。どの受託契約でも共通に用いる書類(例:請求書)は特段分けて管理されていないんじゃないかなぁ。まあ、特定個人情報ファイルを一緒くたにして保管することは確かに考えにくいけれど、安全管理措置として非常に重要な観点なので、これを機に点検・啓発をしたほうがよさそうです。
→次の52の前提としてこの整理だと厳しいなぁと思います。予め契約に入れておくことになるのか?そもそもホスティングサービスの場合は?グループ内のサポート系機能子会社に修復を委託する場合は?いろいろ疑問が出てきます。
→つまり、個人番号関係事務の受託契約については、再委託が想定される子会社への再委託を予め認める内容を盛り込むほうが無難ということでしょうかね。
→ユーザーが暗号化したデータをクラウドサービス事業者側で複合化できないようにすれば、「取り扱う」とは言えず委託に該当しない、と解釈していいのでしょうか?この説明だと判然としませんね。事業者(個人番号関係事務実施者)にとってはマイナンバー制度導入により負担が増えるだけなので、その負担を減らすための情報処理設備の積極的な活用も念頭に置いた回答が欲しかったのですが。
→100人の根拠ってなんだよ、という意見はたくさん出そうですが、決めるしかないし、妥当な基準だと思います。
→「特定個人情報の特性等」とあるので、「この書類は書留で、この書類は普通郵便で、・・・」と手順を明文化せよということでしょうね。従業員に手間がかかることもあるので一概に決めてしまうのは違うと思います。
→やった!おおいに活用させていただきます。
→これは明確なガイドですね。誓約書を提出してもらわない場合は入社予定日を内定者が確認した旨の書面を交わしていれば条件を満たすと考えてよさそうです。
→「契約内容等により」「個人番号関係事務が明らかに発生しない」の基準も一定の判断ができそうです。
→38のコメントで触れた点ですが、解釈に幅があって混乱しそうです。「近い将来雇用契約が成立する蓋然性が高い」というのは、たとえば希望職種や希望条件等を聴取したり案件を紹介するなどして、派遣会社と登録者の二者間で雇用に向けた具体的なやりとりが行われている状況を指すと捉えてよいのでしょうか。いずれにせよ、マイナンバーの提供を求めるときには何らかのエクスキューズ(たとえば「就業を前提に提供いただきますが、3ヶ月以内に決定しない場合は廃棄します」)を入れたほうがよいのでしょう。
→マイナンバー制度に対する国民の理解は進んでいないし、「お役所」に不信感を持っていて提供を拒む人は結構いると思います。個人情報の安全管理措置について従業員の信用が得られていない会社も収集に苦労するでしょう。さらに、現住所と住民票が異なっていてそもそも本人が通知カードを受け取れないケースもかなり起きるはず。制度開始後しばらくの間(情報提供ネットワークが2017年1月に稼動するまで?)、提出先機関は何らかの経過措置をとらざるを得ないでしょうね。
→この施行規則は実態(源泉徴収票がローン審査に用いられる)を捉えておらずちょっと乱暴に思えます。本人にマジックペンなどで黒塗りにしてもらうんだろうか・・・。人事部門が源泉徴収票を発行する際に本人に用途を確認して、個人番号を印字するかどうか判断できればいいのに。パッケージソフトでの実装は簡単でしょうし。
→最大1年間は事務の効率性を勘案してよいということ。具体的かつ現実的なガイドで助かります。
→請求書と番号の届出書を別にするほうが都合がよいのかはまだ考えあぐねているところ。このガイドがあるので、あとは書式の工夫次第でしょうか。
→あちゃ、盲点でした。マイナンバーを保管しておく情報システムのバックアップデータが永久保管になっていないか確認が必要です。
→ガイドラインを読んで最も腑に落ちないのがこの記述。提供先機関すべてに確認しなければいけないというのは受け入れ難いし、そこの基準は揃えて示してもらわなければパニックになりそうです。例えば、過年度分の源泉徴収票を市区町村に提出済みの場合は市区町村が本人確認済みとみなせるので不要、となると非常に楽ですが、果たして…。
→この番号法施行規則第4条というのが非常に難解な構文で、なんのこっちゃという感じなのです。ガイドラインはそれをかみ砕いてわかりやすく説明してくれるものじゃないのでしょうか…。ここの意見にあるような、本人が携帯電話やスマートフォンで撮影した通知カードと本人確認書類の画像データを人事システムにアップロードして人事部門がそれを確認するという方法が認められるのか判断がつきませんでした。
→この点も、業務設計をするにあたって非常に気になるところ。特定個人情報保護委員会の範疇の話ではないので、各機関から早めにガイドが出されることが望まれます。
→なるほど、たしかに意図しない取得は起きてしまいそうです。個人番号カードの裏面に、「個人番号利用事務または関係事務以外での複写を禁ずる」などの文言を入れるとよいかもしれません。
これについて、12月11日に「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の確定版が、政府機関である特定個人情報保護委員会より公表されました。
同時に、このガイドラインの案の段階で行われていたパブリックコメントの結果についても、寄せられた218もの意見とそれに対する委員会の考え方が並んで記されるかたちで公表されていたので、ひととおり読んでみました。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(案)」に関する意見募集の結果について
参考になる点が非常に多くあった一方で、やはりまだ判然としないガイドも多くあります。
ここでは、特に気になった委員会の回答、もしくは寄せられた意見を、僕のコメントを添えてピックアップしておきます。
11.従業員等が事業者に扶養控除等申告書を提出するまでの間に、その扶養控除等申告書に記載されている扶養親族等の個人番号が漏えいした場合においても、事業者が責任を負うことはありません。
→そのとおりだと思うのですが、会社がコスト削減のために安価な運送事業者を指定して、その過失により漏えいしてしまった場合には、トラブルになりそうだなと思います。
38.事業者と従業員等との間の法律関係等に基づき個人番号関係事務の発生が予想される場合には、あらかじめ複数の事務を利用目的として特定し、通知等を行った上で、個人番号の提供を受けることができます。
→「法律関係等」とあるので、事業者と消費者の間の民事上の契約関係に基づいて個人番号関係事務の発生が予想される場合も含むと解釈できますので、派遣登録だけでも、一定の条件を満たせば提供を受けることが可能と言えそうです。
39.記述を、「当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的の変更及び本人への通知等を行うことにより、変更後の利用目的の範囲内で個人番号を利用することができる。」という記述に修正しました。
→「当初の利用目的と相当の関連性を有すると合理的に認められる範囲」って、個人情報保護法第15条を念頭に置いた記述なんだろうけど、ますますよくわからなくなってきました…。同法に関する経済産業分野のガイドラインにある例示を踏まえて考えると、個人番号関係事務すべてが「合理的に認められる範囲」に含まれると捉えられかねないのではないかと。特に、プライバシーマーク取得事業者には通知公表だけでなく同意確認が求められるので、どんな変更について同意を取り直す必要があるのかが曖昧になると非常に厄介です。
45.複数の事業者から委託を受けている場合において、委託を受けた者は、通常、それぞれの委託者ごとに情報を管理していると考えられます。また、委託契約においては、委託者の情報を他に漏らすことのないように秘密保持義務等が規定されているものと考えられます。
→果たして民間事業者の実態はそうなのか、疑問に思います。どの受託契約でも共通に用いる書類(例:請求書)は特段分けて管理されていないんじゃないかなぁ。まあ、特定個人情報ファイルを一緒くたにして保管することは確かに考えにくいけれど、安全管理措置として非常に重要な観点なので、これを機に点検・啓発をしたほうがよさそうです。
46.ソフトベンダーに特定個人情報等の修復のためにデータを送る場合も再委託として取り扱われることとなります。
→次の52の前提としてこの整理だと厳しいなぁと思います。予め契約に入れておくことになるのか?そもそもホスティングサービスの場合は?グループ内のサポート系機能子会社に修復を委託する場合は?いろいろ疑問が出てきます。
52.再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を行うことのできる適切な業者かどうかを確認させるため設けられたものです。したがって、委託者が再委託の許諾をするに当たっては、再委託を行おうとする時点でその許諾を求めるのが原則です。
→つまり、個人番号関係事務の受託契約については、再委託が想定される子会社への再委託を予め認める内容を盛り込むほうが無難ということでしょうかね。
60.クラウドサービスが番号法上の委託に該当するかどうかは、クラウドサービス事業者がその契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。(中略)個人番号をその内容に含む電子データは、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものとして、個人番号として取り扱われます。
→ユーザーが暗号化したデータをクラウドサービス事業者側で複合化できないようにすれば、「取り扱う」とは言えず委託に該当しない、と解釈していいのでしょうか?この説明だと判然としませんね。事業者(個人番号関係事務実施者)にとってはマイナンバー制度導入により負担が増えるだけなので、その負担を減らすための情報処理設備の積極的な活用も念頭に置いた回答が欲しかったのですが。
79.制度の円滑な導入、事業者の負担、個人番号の数量等による影響等を総合的に勘案し、原則として、中小規模事業者を従業員数 100 人以下としました。
→100人の根拠ってなんだよ、という意見はたくさん出そうですが、決めるしかないし、妥当な基準だと思います。
83.電子媒体又は書類等を持ち出す際の安全な方策の例として、追跡可能な移送手段を挙げています。移送する特定個人情報の特性等に応じて適切な移送手段を選択してください。
→「特定個人情報の特性等」とあるので、「この書類は書留で、この書類は普通郵便で、・・・」と手順を明文化せよということでしょうね。従業員に手間がかかることもあるので一概に決めてしまうのは違うと思います。
91.当委員会においては、本ガイドライン、本ガイドラインに係るQ&A及び研修用資料を整備する予定です。
→やった!おおいに活用させていただきます。
102.内定者が確実に雇用されることが予想される場合(正式な内定通知がなされ、入社に関する誓約書を提出した場合等)には、その時点で個人番号の提供を求めることができると考えられます。
→これは明確なガイドですね。誓約書を提出してもらわない場合は入社予定日を内定者が確認した旨の書面を交わしていれば条件を満たすと考えてよさそうです。
106.「契約内容等から個人番号関係事務が明らかに発生しないと認められる場合」とは、地主に対する地代等の支払のように契約内容等により年間の支払金額が明らかで、支払調書の提出基準に満たない場合等が考えられます。
→「契約内容等により」「個人番号関係事務が明らかに発生しない」の基準も一定の判断ができそうです。
107.(人材派遣会社への登録においても、)登録時にしか本人確認をした上で個人番号の提供を求める機会がなく、実際に雇用する際の給与支給条件等を決める等、近い将来雇用契約が成立する蓋然性が高いと認められる場合には、雇用契約が成立した場合に準じて、個人番号の提供を求めることができると解されます。
→38のコメントで触れた点ですが、解釈に幅があって混乱しそうです。「近い将来雇用契約が成立する蓋然性が高い」というのは、たとえば希望職種や希望条件等を聴取したり案件を紹介するなどして、派遣会社と登録者の二者間で雇用に向けた具体的なやりとりが行われている状況を指すと捉えてよいのでしょうか。いずれにせよ、マイナンバーの提供を求めるときには何らかのエクスキューズ(たとえば「就業を前提に提供いただきますが、3ヶ月以内に決定しない場合は廃棄します」)を入れたほうがよいのでしょう。
108.社会保障や税の決められた書類に個人番号を記載することは、法令で定められた義務であることを周知し、提供を求めるようにしてください。それでも提供を受けられないときは、書類の提出先の機関の指示に従ってください。
→マイナンバー制度に対する国民の理解は進んでいないし、「お役所」に不信感を持っていて提供を拒む人は結構いると思います。個人情報の安全管理措置について従業員の信用が得られていない会社も収集に苦労するでしょう。さらに、現住所と住民票が異なっていてそもそも本人が通知カードを受け取れないケースもかなり起きるはず。制度開始後しばらくの間(情報提供ネットワークが2017年1月に稼動するまで?)、提出先機関は何らかの経過措置をとらざるを得ないでしょうね。
119.本人の個人番号が記載された給与所得の源泉徴収票は、住宅の取得に関する借入れ(住宅ローン)などで使用することが想定されますが、そのような場合は、番号法第 19 条各号において認められている特定個人情報の提供に該当しないことから、本人の個人番号部分を黒塗りにする等の工夫が必要となります。
133.給与所得の源泉徴収票については、所得税法施行規則により、本人に交付する分についても本人及び扶養親族の個人番号を記載することが義務付けられています。
→この施行規則は実態(源泉徴収票がローン審査に用いられる)を捉えておらずちょっと乱暴に思えます。本人にマジックペンなどで黒塗りにしてもらうんだろうか・・・。人事部門が源泉徴収票を発行する際に本人に用途を確認して、個人番号を印字するかどうか判断できればいいのに。パッケージソフトでの実装は簡単でしょうし。
140.廃棄が必要となってから廃棄作業を行うまでの期間については、毎年度末に廃棄を行う等、個人番号及び特定個人情報の保有に係る安全性及び事務の効率性等を勘案し、事業者において御判断ください。
→最大1年間は事務の効率性を勘案してよいということ。具体的かつ現実的なガイドで助かります。
153.(意見:事務処理上、支払請求書と、番号の届出書とをセットで移動させる場合、番号の届出書だけを抜き出して廃棄する事務負荷が高いことから、セットで法定保存年限に従い、保存して良いか、確認させていただきたい。)御理解のとおりです。
→請求書と番号の届出書を別にするほうが都合がよいのかはまだ考えあぐねているところ。このガイドがあるので、あとは書式の工夫次第でしょうか。
160.バックデータ中の個人番号についても廃棄が必要です。保存期間を過ぎた個人番号については自動的に削除されるようなシステムを構築するなど工夫してください。
→あちゃ、盲点でした。マイナンバーを保管しておく情報システムのバックアップデータが永久保管になっていないか確認が必要です。
166.(意見:「特定の個人と同一のものであることが明らかな場合と利用事務実施者が認める」という点について、利用事務実施者毎に見解が異なるということがないよう強く要請したい。雇用関係を理由として、身元確認を省略できることの適用について、一つでも適用できないケースがあると、実務上その果実を受けることができなくなるため。)※174,175,177も同様の意見
→ガイドラインを読んで最も腑に落ちないのがこの記述。提供先機関すべてに確認しなければいけないというのは受け入れ難いし、そこの基準は揃えて示してもらわなければパニックになりそうです。例えば、過年度分の源泉徴収票を市区町村に提出済みの場合は市区町村が本人確認済みとみなせるので不要、となると非常に楽ですが、果たして…。
171.電子情報処理組織を使用して個人番号の提供を受ける場合の本人確認の措置は番号法施行規則第4条に定められており、それに従って行ってください。
→この番号法施行規則第4条というのが非常に難解な構文で、なんのこっちゃという感じなのです。ガイドラインはそれをかみ砕いてわかりやすく説明してくれるものじゃないのでしょうか…。ここの意見にあるような、本人が携帯電話やスマートフォンで撮影した通知カードと本人確認書類の画像データを人事システムにアップロードして人事部門がそれを確認するという方法が認められるのか判断がつきませんでした。
198.(意見:行政機関等へ提出する法定調書への記載漏れ/ミスや事業者へ知らされていない個人番号の変更により、法定調書へ記載する個人番号に誤りがあった場合、再提出を促す連絡・通知はなされるか。)書類の提出先の機関の指示に従ってください。
→この点も、業務設計をするにあたって非常に気になるところ。特定個人情報保護委員会の範疇の話ではないので、各機関から早めにガイドが出されることが望まれます。
200.(意見:マイナンバーが記載されるという裏面のコピーは禁止し、表面の許可されるのでしょうか。コピーは裏表とも禁止されるのでしょうか。身分証明書として確認を行う従業員がどれほどの教育を受け、確認者・確認状況の履歴記録を義務づけることになるのでしょうか。疑問です。)
→なるほど、たしかに意図しない取得は起きてしまいそうです。個人番号カードの裏面に、「個人番号利用事務または関係事務以外での複写を禁ずる」などの文言を入れるとよいかもしれません。
