放置すれば重大なコンプライアンス違反に
マイナンバーと法人番号の配布が開始されました。マイナンバーは企業が税務署に提出する源泉徴収票や社会保険の諸届などに使いますから、企業が社員などから取得し、保管し、使用することになります。政府の計画では、2016年1月から使用が始まりますが、企業側の準備の遅れが問題になっています。「もう手遅れ」という人もいます。
取得の時点で個人情報保護法と同様に利用目的の通知が必要なほか、間違いなく取得するために本人確認の手続き等を法律が定めています。また、使用や保管なども厳格に規制されています。
「手遅れ」として放置し、適当に取り扱ったら何の解決にもなりませなん。重大なコンプライアンス違反が生じます。
対応のポイント~まずはこの2つを押さえる
そこで、まず、何をしなければならないかを考えましょう。
大きく分けると次の2つです。
(1)マイナンバーに関する基本方針やマイナンバーを取り扱うときのルールや教育、監査等を定める規程の策定です。
(2)マイナンバーを社内の誰がどのように受取ってそれを社内の誰に集約し、誰が管理するかなどの具体的手順を定めることです。
どこにデッドラインがあるのか~3段階の局面で考える~
そこで「手遅れ」という限りは、どこかにデッドラインがあるはずです。一体それはどこでしょう。
2016年の1月には全社員のマイナンバーが必要なのでしょうか。いいえ、そんなことはありません。必要となる場面を3段階に分けて考えます。
ⅱ)2016年4月には新入社員の採用でマイナンバーの取得や利用があります。
ⅲ)2016年の末には社員の源泉徴収票の発行準備のために全社員のマイナンバーが必要になります。
現時点で何もできていない状態として、企業規模や業態にもよりますがⅰ)の段階であれば、全体的に統一した規程がなくても個別対応が可能な会社が少なくありません。
次にⅱ)の新入社員の対応ですから定型的に決めておけば足ります。
さすがにⅲ)については1年先ですからきちんと整えましょう。
その場しのぎの対応ではダメ
ただ、個別対応やお定型的対応だから何も決めずにその場しのぎでよいとはいきません。しかし、法律は形式的な「○○規程」を作れとは言っていません。組織体制など会社全体として法律やガイドラインに従う必要な項目もありますが、個別的な手順や定型的手順をマイナンバー法の規範に従って作成すれば遵法的な対応ということができるでしょう。ⅲ)の2016年末にはトータルな体制が完成していればよいでしょう。
「手遅れだ!!」とパニックになる前にマイナンバーを実際に使うタイミングを分析して対応を考えてみたらどうでしょう。このあたりは、業務の分析を含めて法律やガイドラインに精通したコンサルに相談するのも一つの方法です。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ