■従業員数100人超の場合は「取扱規程」も策定する
前述した「基本方針」のほか、従業員数が100人を超える企業は、自社におけるマイナンバーの取扱いを明確にした「取扱規程」を策定することも求められています。
マイナンバー制度がスタートする2016年1月までに、企業はマイナンバーの運用や管理がしやすいように、取扱規程を策定しましょう。
特に、情報漏えいの事故が生じる可能性があるマイナンバーの運用では、以下に示した5つの管理段階で、取扱方法、責任者・事務取扱担当者とその任務等を定めることが求められています。
図表2 取扱規程に具体的に定める事項
規程の策定にあたっては、既存の個人情報保護に関する規程があれば、それに追記する方法でもかまいませんが、マイナンバー取扱規程というより「特定個人情報取扱規程」として策定をしていくとよいでしょう。なぜなら、マイナンバーは単に番号だけですが、管理をしなければならないのは、マイナンバーを含む個人情報であり、これらが「特定個人情報」にほかならないからです。
一般的に、規程は文書で作成する方法が考えられますが、かえってわかりにくくなる場合は、別表を定めてフローチャート等を入れていく方法を検討するのも一案です。
たとえば、マイナンバーを従業員等から取得するときのフロー図や、事務取扱担当者および責任者の氏名を表にしてまとめる等が考えられます。
目的は、「ルールや責任の所在を明確にしていくこと」ですから、必ずしも文書で難しい法律用語を並べてまとめる必要はないでしょう。マイナンバーは新しい制度であり、多くの従業員等にとって馴染みのあるものではありません。社内で運用しやすいように、専門用語を羅列するのではなく、誰もが理解しやすい内容の規程にするよう心がけてください。
特定個人情報取扱規程については、従業員の労働条件に関するものではありませんから、一般的な他の規程の運用のように、従業員代表の意見聴取を行なったり、管轄の労働基準監督署への提出は必要ありません。
なお、基本方針のモデルや、特定個人情報取扱規程の例、委託先(例:税理士や社会保険労務士)がある場合の追記条文例の詳細は、『マイナンバー制度の実務と業務フローがわかる本』をご参照ください。(第4回:安全管理措置の検討につづく)