〈直前対策〉
税理士事務所に必要な
マイナンバー制度への対応と
“おさえておきたい”ポイント
【第1回】
「税理士事務所として準備すること」
税理士
特定個人情報保護委員会事務局
総務課上席政策調査員
鈴木 涼介
◆はじめに◆
いよいよ、マイナンバー制度(社会保障・税番号制度)がスタートするが、このマイナンバー制度への対応については、「何をすれば良いのか分からない」、「不要な個人番号を保有していたら即番号法違反になる」、「情報漏えいを起こしたら即罰則が適用される」などといった不安や誤解が多い。
そこで、本連載では、「何をすれば良いのか分からない」等といった不安を解消させるために、税理士事務所としてどのような準備をすればよいのか、そして、「不要な個人番号を保有していたら即番号法違反になる」とか「情報漏えいを起こしたら即罰則が適用される」等といった誤解を解消させるために、実務上どのように対応すればよいのかについて、2回に分けて解説することとする。
まず、第1回目の本稿では、税理士事務所としてどのような準備をすればよいのかについて解説する(※)。なお、本稿は、筆者の個人的見解に基づくものであり、特定個人情報保護委員会などの公式見解ではない点にご留意いただきたい。
(※) 法人番号は、自由に利活用され公表されることが前提であり、特段対応は必要ないため、本稿においては個人番号の取扱いを前提とする。
1 安全管理措置とその目的
税理士事務所は、顧問先企業や納税者(以下「顧問先企業等」という)、事務所の従業員に係る個人番号及び特定個人情報(以下「特定個人情報等」という)を大量に保有することになる。
特定個人情報等については、漏えい、滅失又は毀損の防止その他の特定個人情報等の管理のために、必要かつ適切な安全管理措置を講じなければならない(番号法12、33、34、個情法20、21)。
したがって、税理士事務所の事前準備作業としては、特定個人情報等を取り扱う前までに、安全管理措置を講ずることがあげられる。
ここで最も多い誤解が、「最低限、何をやればよいのか」といった視点で安全管理措置を捉えてしまうことである。
安全管理措置の目的は、「特定個人情報等の漏えい、滅失又は毀損の防止その他の特定個人情報等の管理」である。この目的を達成できるのであれば、その手法は問わない。
例えば、物理的安全管理措置の手法として、個人番号が記載されている書類等について「施錠できるキャビネットに保管する」というものがある。しかし、この手法を採用して、施錠できるキャビネットを購入したとしても、その施錠のための鍵を無造作に机の上に放置したり、誰でも使えるようにしたりしていては、措置を講じた意味がない。
したがって、「何をすればよいか」ではなく、「どのように情報を管理するか」を意識して、安全管理措置を講ずることが重要である。
2 規程類の策定と各種措置
安全管理措置の内容としては、
① 「基本方針」及び「取扱規程等」の策定
② 組織的・人的・物理的・技術的安全管理措置
「基本方針」は、いわゆるプライバシーポリシーや個人情報保護方針といったものに相当するものであり、関係法令・ガイドライン等の遵守、安全管理措置に関する事項、質問及び苦情処理の窓口などを記載することになる。基本方針は策定が義務付けられているものではないが、税理士事務所は、特定個人情報等を大量に取り扱うことから、策定することが望ましい。
「取扱規程等」は、事務の流れを整理して、特定個人情報等の具体的な取扱いを定めるものである。取扱規程等の策定は義務であり、税理士事務所は必ず策定しなければならない。
基本方針及び取扱規程等については、「税理士のためのマイナンバー対応ガイドブック」(日本税理士会連合会)(以下、「税理士ガイドブック」)にひな型が掲載されているため、それを参考に策定することが効率的であると考えられる。
この場合、基本方針は、ひな型のとおり利用することが考えられるが、取扱規程等については、それぞれの税理士事務所の規模や事務の流れによって内容が変わりうるものであることから、単にひな型をそのまま書き写すのではなく、各事務所にあった形にカスタマイズすることが重要である。
組織的・人的・物理的・技術的安全管理措置については、まさしく税理士事務所の様々な状況によって変わりうることから、各事務所の規模等に応じて、適切に措置を講ずることとなる。
◆組織的安全管理措置
- 組織体制の整備
- 取扱規程等に基づく運用
- 取扱状況を確認する手段の整備
- 情報漏えい等事案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
◆人的安全管理措置
- 事務取扱担当者の監督
- 事務取扱担当者の教育
- 秘密保持に関する事項
◆物理的安全管理措置
- 特定個人情報等を取り扱う区域の管理
- 機器及び電子媒体等の盗難等の防止
- 電子媒体等を持ち出す場合の漏えい等の防止
- 個人番号の削除、機器及び電子媒体等の廃棄
◆技術的安全管理措置
- アクセス制御
- アクセス者の識別と認識
- 外部からの不正アクセス等の防止
- 情報漏えい等の防止
『組織的安全管理措置』のうち「取扱規程等に基づく運用」は、「取扱規程等に基づく運用の確保」と「監査時等の確認手段の確保」との2段階で考えることが重要である。この点、税理士ガイドブックにおいては、「特定個人情報等の取扱いに関する事務チェックリスト」や「執務記録」を利用する方法が例示されている。なお、このほか、システムに実装されている機能を用いて、アクセスログ等を記録・保存して管理することも考えられる。
『人的安全管理措置』は、事務所の従業員に対して、特定個人情報等の取扱いの許可事項、禁止事項、その理由について周知徹底することが重要である。
『物理的安全管理措置』は、税理士事務所の場合、作業スペースのすべてが取扱区域に該当すると考えられることから、来客スペースとの区分を明確にし、来客などの外部の者に特定個人情報等が漏えい等しないようにすることが重要である。また、盗難等の防止策としては、特定個人情報等が記載された書類は鍵のかかるキャビネットに保管し、パソコンについてはセキュリティーワイヤーなどで固定することが考えられる。さらに、個人番号を廃棄又は削除した場合には、廃棄又は削除したことの記録を保存しておく必要がある。
『技術的安全管理措置』は、特定個人情報等が記録されたパソコンやシステムを使用できる者を制限するとともに、その者が取り扱う特定個人情報等の範囲を制限し、適正な範囲で利用できるようにすることが重要である。また、外部からの不正アクセス等を防止するため、ウィルス対策ソフト等の導入やパソコンに標準装備されている自動更新機能等の活用によるソフトウエア等の更新を行うことが重要である。
3 委託契約の見直し
番号法においては、個人番号利用事務又は個人番号関係事務の全部又は一部の委託をする者は、委託を受けた者において取り扱う特定個人情報の安全管理が図られるように、その委託を受けた者に対する必要かつ適切な監督を行うことが求められている(番号法11)。
すなわち、税理士事務所は、委託元である顧問先企業等から「必要かつ適切な監督」を受けることとなる。
この「必要かつ適切な監督」には、「委託先に安全管理措置を遵守させるために必要な契約の締結」や「委託先における特定個人情報の取扱状況の把握」などが含まれ、その契約内容として、秘密保持義務や特定個人情報の目的外利用の禁止など一定の規定を盛り込まなければならない(※)。
(※) 規定すべき事項については、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報保護委員会)P20を参照。
したがって、税理士事務所は、特定個人情報等を取り扱う前までに、顧問先企業等との業務委託契約の内容を見直す必要がある。
この点、税理士ガイドブックにおいては、
① 業務契約書
② 特定個人情報等の外部委託に関する合意書
③ 特定個人情報等の取扱いに関する覚書
という3つの書類のひな型が示されている。
顧問契約などを締結して契約書を作成している場合には、①の業務契約書の改訂及び②の合意書の作成が必要となる。
この契約書の改訂とは、契約条項の1つとして、以下の条項を追加することとなる。
第5条 特定個人情報等の取扱い
乙は甲との「特定個人情報等の外部委託に関する合意書」に則り、甲から乙に開示又は提供された個人番号及び特定個人情報(以下「特定個人情報等」という。)を適切に取り扱うものとする。
【税理士ガイドブックより抜粋】
契約書を作成していない場合は、本来的には契約書を作成すべきではあるが、マイナンバー制度への対応という課題については、③の覚書を作成して対応することとなる。
〔凡例〕
番号法・・・行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
個情法(又は個人情報保護法)・・・個人情報の保護に関する法律(平成15年法律第57号)
(了)
次回は、No.139(2015/10/8)に掲載されます。
