特定個人情報保護ファイル:個人でも安全保護措置が必要なのか

個人番号が記録されているデータベースは厳重に管理しないといけないということを聞きました。私は印刷屋を営んでいる個人事業主ですが、従業員は2人しかいません。この規模の個人でもセキュリティシステムを導入しないといけないのでしょうか?

マイナンバー法上、個人番号を記録するデータベース即ち特定個人情報保護ファイルについては、安全管理措置が必要とされています。これは個人であっても法人であっても適用されますから、個人事業主でも、従業員の個人番号を預かるのであれば、安全管理措置が必要になります。ただ具体的にどの程度の安全管理措置が必要かは法律では定められておらず、今後各省庁が定めるガイドラインに準拠することとなっています。マイナンバー法はどの事業者にも適用される法律ですが、中小事業者にまで一律に重い管理義務を課すのは現実的ではありません。そのため政府では事業者の規模に応じたガイドラインを制定する予定となっています。

適用:従業員が5000人以下の会社も個人番号を扱うのか

私の会社は従業員が5000人未満です。扱う個人情報の数が5000件未満の場合には個人情報保護法が適用されないと聞いたのですが、個人番号を扱う必要はあるのでしょうか。

あります。個人情報保護法の適用とマイナンバー法の適用は別の問題です。確かに個人情報保護法は取り扱う個人情報の件数が5000件未満の場合には適用されません。一方、マイナンバーはマイナンバー法という個人情報保護法とは別の法律に基づく制度です。そのためマイナンバー法はマイナンバー法の条件さえ満たせば適用されます。通常は従業員や株主が一人でもいさえすればマイナンバーの取扱いが必要になってきます。

適用:5000人以下の会社も安全管理義務を負うのか

私の会社は従業員が5000人未満です。扱う個人情報の件数が5000件未満の場合には個人情報が適用されないと思います。そうすると当社では安全保護措置を実施しなくてもよいということでしょうか。

違います。確かに取り扱う個人情報の件数が5000件未満の場合には個人情報保護法は適用されません。従業員の人数と業務上保有している顧客等の個人情報の数が5000件に達していないのであれば、個人情報保護法に定められた安全管理措置や情報開示義務は負いません。もっともマイナンバー法はマイナンバー法の中に安全管理措置義務が規定されています。そのため個人情報保護法が適用されないとしても、マイナンバー法上の安全管理措置義務を負います。

外部委託:個人番号に関する業務の外部委託可否

当社は人事給与システムを外部の業者が提供するクラウドベースのものを使用しています。このシステムに個人番号を提供すると、当社は社外に個人番号を提供していることになると思います。マイナンバー法上、マイナンバーに関する業務を外部委託してもいいのでしょうか。

可能です。マイナンバー法は、マイナンバーである個人番号を外部に委託すること、その外部業者に処理を委託することを禁止していません。ただし委託元には監督義務が課されることになります。とはいってもクラウドサービスを提供している業者の日常業務を都度監督するというのは現実的ではありません。そのため実際には、業者による個人番号の安全管理方法を報告してもらう事、契約上、必要に応じて監査を実施する事を規定する事をもって、監督したとみなすことになるでしょう。

本人確認:家族からの提供

個人番号を提供してもらうときには本人確認書類を出してもらって確認をしないといけないとのことでした。そうなると扶養控除申告書に記載するために家族の個人番号を聞くときには、家族から本人確認書類を見せてもらう必要があるということでしょうか。

必要ありません。たとえば継続的に雇用関係にある場合に事業者として本人に間違いが無いと確認できる従業員については、規則で本人確認の必要が無いとされています。そのため家族については経験的事実として相手が本人であることは確かですから本人確認措置は必要無いといえます。