いよいよ2016年1月からマイナンバーの運用が開始されます。そろそろ皆さんのお手元にも、各自のマイナンバーが届いているのではないでしょうか。

マイナンバーはあらゆる企業が関わることになる問題ですので、ベンチャー企業もマイナンバーの取扱いをよく理解しておく必要があります。

そこで本稿では、ベンチャー企業が抑えておくべきマイナンバーの基本的な留意点について解説していきたいと思います。

前編では、マイナンバーの利用範囲、収集及び保管についての制限について触れていきました。
後編では特にベンチャーが気を付けるべき点、ウェブサービス等で会員の個人情報を有しているベンチャーが「個人情報取扱事業者」に該当していないか、ユーザーが番号カードの裏面の写しを送付してきた場合にはどのように対応するべきか等について解説していきます。

※文中では以下の定義を使用しています。

「個人情報保護法」…個人情報の保護に関する法律
「番号法」…行政手続における特定の個人を識別するための番号の利用に関する法律
「ガイドライン」…特定個人情報の適正な取扱いに関するガイドライン(事業者編)
「安全措置ガイドライン」…上記ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」
「Q&A」…「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A

5.自社に適用される安全管理措置を理解しよう!
Webサービス等で5000人を超える会員の情報を保有している場合は?

(1) 概要

マイナンバーを取り扱う事業者は、マイナンバー及び特定個人情報(以下「特定個人情報等」といいます。)の漏えい、滅失又は毀損の防止等、特定個人情報等の管理のために、必要かつ適切な安全管理措置を講じなければならず、従業者に特定個人情報等を取り扱わせるに当たっては、特定個人情報等の安全管理措置が適切に講じられるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません(ガイドライン22頁)。

かかる安全措置の内容は、安全管理措置ガイドラインに定められているので、安全措置ガイドラインに沿って運用を行う必要があります。

(2) 中小規模事業者の特例

安全管理措置ガイドラインを確認するに先立ち、自社が「中小規模事業者」に該当するのかを確認することが重要です。

なぜなら、ガイドライン中「中小規模事業者における対応方法」として特例が規定されており、取り入れるべき安全管理措置が緩和されています。

ここで、「中小規模事業者」との字面だけを見て、「自社は従業員数も少なく、まだそれほどの規模になっていないことから、中小規模事業者に該当するだろう。」と決めつけてしまうことは危険です。
「中小規模事業者」の定義からは「個人番号利用事務実施者」「委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者」「金融分野の事業者」「個人情報取扱事業者」は除かれています(ガイドライン50頁)のでご注意ください。

この中で特にベンチャー企業が気をつけなければならないのが、自社が「個人情報取り扱事業者」に該当していないかという点です。

従業員数が少なくても、Webサービス等で(過去6カ月以内に)5000人を超える会員の個人情報を保有している場合は、「個人情報取扱事業者」にあたり(個人情報保護法第2条第3項)、「中小規模事業者」には該当しないということになります。

なお、個人情報保護法の改正により、かかる5000人の要件が廃止され、取り扱う個人情報が5000人以下の場合でも個人情報取扱事業者となることが予定されておりますが、かかる個人情報保護法の改正により「中小規模事業者」の定義も修正される可能性があると思われますので、今後のガイドラインの改訂の動向に注視する必要があります。

(3) 基本方針及び取扱規程の策定

安全管理措置ガイドラインでは、①個人番号を取り扱う事務の範囲の明確化、②特定個人情報等の範囲の明確化、③事務取扱担当者の明確化を行った上で、以下の措置をとるものとされています。
詳細は安全管理措置ガイドラインを確認していただければと思うのですが、ここではA及びBについて解説したいと思います。

 A 基本方針の策定
 B 取扱規程等の策定
 C 組織的安全管理措置
 D 人的安全管理措置
 E 物理的安全管理措置
 F 技術的安全管理措置

まず、Aの基本方針の策定については、ガイドライン上これを策定することが「重要である」と記載されています。

「しなければならない」と記載されていないことから義務ではないと考えられますが、会社の姿勢を示すために策定しておいた方が望ましいでしょう。
具体的には、「事業者の名称」「関係法令・ガイドライン等の遵守」「安全管理措置に関する事項」「質問及び苦情処理の窓口」等を定めることとされています。

かかる基本方針は既存の個人情報に関するものを改正する方法でも良いとされていますので(Q&A 12-10)、既存のプライバシーポリシーなどを変更する形で策定することでも良いでしょう。

一方、Bの取扱規程等の策定は安全管理措置ガイドライン上「しなければならない」とされており、原則として策定が義務となります。
但し、中小規模事業者においては、①特定個人情報等の取り扱い等を明確化する、②事務取扱担当者が変更となった場合、確実な引き継ぎを行い、責任ある立場の者が確認することについて対応すればよいとされているため、中小規模事業者においては、取扱規程等の作成は義務ではありません(もちろん任意に策定することが禁止されるわけではありません)。

ところで、取扱規程の作成にあたり、安全管理措置ガイドラインに書いてあることをどこまで厳密に規定する必要があるのでしょうか。

安全管理措置ガイドライン上は「安全管理措置の検討に当たっては、番号法及び個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守しなければならない。」と記載されています。
したがって、ガイドラインに「しなければならない」と記載されている事項については、取扱規程にも記載しておく必要があります。

一方、安全管理措置ガイドラインには、各措置について「手法」が列挙されていますが、これらの手法は例示であって全て規程に盛り込むことや実際に運用することまでは求められていません。

また、規程類の策定にあたっては、安全管理措置の「項目」として挙がっている点が網羅されているかという視点が重要になってきます。

具体的に、「人的安全管理措置」で見てみましょう。
人的安全管理措置については次のように記載されています。Dの柱書には「次に掲げる人的安全管理措置を講じなければならない。」と記載されているため、取扱規程では、aとbの双方について規定をしておく必要があります。
しかし、≪手法の例示≫に挙げられているものはあくまで参考であり、その他の手法でもよいということになります。

D 人的安全管理措置

事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければならない。

  1. 事務取扱担当者の監督
    事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われる よう、事務取扱担当者に対して必要かつ適切な監督を行う。
  2. 事務取扱担当者の教育
    事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知 徹底するとともに適切な教育を行う。

≪手法の例示≫
* 特定個人情報等の取扱いに関する留意事項等について、従業者に定期的な研修等を行う。
* 特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込むことが考えられる。

取扱規程については様々なサンプルが出回っていますが、サンプルでは例示された手法をそのまま記載しただけのものも見受けられます。あくまで手法は例示であることから、自社の実態に合わせてカスタマイズすることが重要です。

6. 通知カードと個人番号カードを適切に取り扱おう!
ユーザーが番号カードの裏面の写しを送付してきた場合は?

現在皆さんのもとには通知カードが届き始めていると思います。この通知カードは、紙製のカードで、住民にマイナンバーを知らせるためのものです。

かかる通知カードとは別に、来年からは個人番号カードの交付が開始されます。個人番号カードは、プラスチック製のICチップ付きカードで券面に氏名、住所、生年月日、性別、マイナンバー(個人番号)と本人の顔写真等が表示される予定です。

通知カードは全住民に自動的に交付されるものですが、個人番号カードは申請した者にのみ交付されるものです。
通知カードは、マイナンバーを通知する目的のものであり、身分証明書としては利用できませんが、個人番号カードは身分証明書として使用できるほか、自治体サービス、e-Tax等の電子証明書を利用した電子申請等に利用することが想定されているものです。

上記のとおり番号カードは身分証明書として利用できるため、例えば会員登録の際に運転免許証等を提示してもらっていたようなケースにおいて、代わりに番号カードを提示してもらうという使い方ができると考えられます。

但し、気をつけなければならない点があります。それは、番号カードの裏面の写しを取得してはならないということです。

番号カードは表面に写真、氏名等が記載されており、裏面にマイナンバーが記載されていますが、3.で述べたとおり、番号法所定の場合を除いてはマイナンバーを取得することは禁止されています。従って、身分証明書として写しを送付してもらうような場合には、表面のみを送ってもらうようにしましょう。

また、通知カードは上記のとおり身分証明書として使用できないとされているだけでなく、マイナンバーが記載されているものであるため、番号法所定の場合を除き、通知カードの写しを取得してしまうと番号法違反となってしまします。
従って、通知カードは運転免許証等の代替として使用できるものではないことを理解しておきましょう。

なお、万が一、ユーザーが通知カードの写しや、番号カードの裏面の写しを送付してきたような場合には、3.にあるように、安全措置ガイドラインに沿って速やかに廃棄しましょう。

<マイナンバー関連記事>

専門家:長尾 卓(AZX総合法律事務所 パートナー弁護士) 
ベンチャー企業のサポートを専門としており、ビジネスモデルの法務チェック、利用規約の作成、資金調達、ストックオプションの発行、M&Aのサポート、上場審査のサポート等、ベンチャー企業のあらゆる法務に携わる。特にITベンチャーのサポートを得意とする。趣味は、バスケ、ゴルフ、お酒。
専門家:高橋 知洋(AZX総合法律事務所 弁護士)
ベンチャー企業のサポートを専門としており、日々ベンチャー企業から寄せられる、様々な相談に対応。かつて企業の法務部に在籍した経験もあり、企業のニーズを正確に汲み取ることをモットーとする。趣味は、車、ラジオ、ビール。
ノマドジャーナル編集部
専門家と1時間相談できるサービスOpen Researchを介して、企業の課題を手軽に解決します。業界リサーチから経営相談、新規事業のブレストまで幅広い形の事例を情報発信していきます。