マイナンバー対応のチェックリスト
本稿は、事業者のマイナンバー対応において検討すべき事項をチェックリストとしてまとめています。本チェックリストは、番号法やガイドラインがもとめる順守事項を網羅し、かつ、実務的・具体的な対応事項に落とし込むよう作成しています。
なお、このチェックリストは、すべての事項に対応することを意図するものではありません。自社の事業内容や組織規模、リスク評価などに応じて、現状の進捗状況の確認、検討事項に漏れがないかの確認などにご利用いただくことを想定しています。
また、本チェックリストには、各チェック事項に参考になる解説記事へのリンクなども併せて掲載しています。本サイトを閲覧する際のナビゲーションとしてもご利用いただくことを想定しています。
|
事務担当者が、特定個人情報の具体的な取扱いについて確認すべき事項を洗い出ししたチェックリストです。
項目 |
内容 |
参考資料 |
| 事務範囲 の明確化 |
個人番号を取扱う事務の範囲について検討しましたか?
(例):従業員の税、社会保険関係事務、株主・地主・有識者等の支払調書作成事務 など |
|
個人番号を取扱う事務における特定個人情報等の範囲について検討しましたか?
(例):通知カード等の写し等、特定個人情報ファイル、源泉徴収・年末調整関係書類、税・社会保険書類の控え など |
||
| 個人番号を取扱う事務に従事する事務担当者、責任者について検討しましたか? | ||
| 取得の取扱い | 個人番号を記載した書類を受取る場面と受取方法を検討しましたか?
(注):特定個人情報ファイルを作成するための個人番号の収集の場面、個人番号を記載した書類を受取る場面などに分けて検討 |
|
個人番号取得の際の本人確認方法を検討しましたか?
(注):本人確認書類の種類、確認の手順などを検討 |
||
| 個人番号を記載した書類を事務担当者に受渡しする方法を検討しましたか? | ||
| 利用の取扱い | 事務担当者が取扱う特定個人情報ファイルの種類や作成方法を検討しましたか?
(例):給与計算システム、エクセルファイル、個人番号台帳 など |
|
個人番号を記載した帳票の作成方法について検討しましたか?
(注):源泉徴収票、支払調書、社会保険関係書類 などについて検討 |
||
| 提供の取扱い | 個人番号を記載した帳票の行政官庁への提出方法について検討しましたか?
(例):税務署、市役所、年金事務所、ハローワーク など |
|
本人交付する帳票の個人番号の記載と交付のルールについて検討しましたか?
(例):源泉徴収票 支払告知書 など |
||
| 保存の取扱い | 特定個人情報の保存方法を検討しましたか?
(例):保管場所、所管部門、保存の手順などを検討 |
|
特定個人情報の保存期間について検討しましたか?
(例):管理方法、最低保存期間などを検討 |
||
| 削除・廃棄 の取扱い |
特定個人情報の削除・廃棄の手順について検討しましたか?
(例):廃棄対象の選定方法などを検討 |
|
特定個人情報の削除・廃棄の方法について検討しましたか?
(例):溶解、シュレッダー、データ削除ソフトウェアなど |
||
| 委託の取扱い | 特定個人情報の取扱いを、税理士や社労士等、外部の者に委託する場合の取扱いルールや、再委託する場合の取扱いルールを決定しましたか? | |
委託先と特定個人情報に関わる業務の委託に関し必要事項について協議しましたか?
(例):秘密保持義務、事業所内での特定個人情報の取扱い、再委託における条件、漏えい事案等の委託先の責任、特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況の報告 など |
管理責任者や内部監査部門などが、特定個人情報の取扱いに関する安全管理の妥当性について確認すべき事項を洗い出ししたチェックリストです。
項目 |
内容 |
参考資料 |
|
| 物理 | 特定個人情報の取扱区域の管理 | 「管理区域」「取扱区域」の定義や、「管理区域」の入退制限、「取扱区域」の壁又は間仕切り等の設置や座席配置等のルールを決定しましたか? |
|
「管理区域」への入退制限や入退記録のための仕組み(入退室管理システム、入退室記録簿等)の導入を検討しましたか? |
|||
| 機器及び電子媒体等の盗難等の防止 | 特定個人情報や特定個人情報ファイルの盗難又は紛失等への保護状況を検討しましたか? |
||
特定個人情報等を取り扱う機器、媒体等の管理ルールを決定しましたか? |
|||
| 特定個人情報等を取り扱う機器、電子媒体及び書類を保管するために、施錠可能なキャビネット書庫等の設置を検討しましたか? | |||
| 電子媒体等を持ち出す場合の漏えい等の防止 | 特定個人情報や特定個人情報ファイルについて、「持出し」による紛失・盗難リスク等を検討しましたか? |
||
特定個人情報等の「持出し」に関し、移送する媒体の管理や運搬のルール、授受確認のルール等を決定しましたか? |
|||
| 個人番号の削除、機器及び電子媒体等の廃棄 | 特定個人情報や特定個人情報ファイルの保存期間や、廃棄・削除の手順・ルール等を検討しましたか? |
||
| 特定個人情報等の廃棄・削除に備え、シュレッダーやデータ削除ソフトウェアなどの導入、廃棄の委託先との契約の見直しなどの対応を検討しましたか? | |||
| 技術 | システムのアクセス制御 | 特定個人情報の取扱い事務と担当者などを整理し、特定個人情報へのアクセスを最小限にする権限設計を行いましたか? |
|
特定個人情報のアクセス権限表にもとづき、特定個人情報を取り扱うPC、サーバー等の設定を行いましたか? |
|||
| アクセス者の識別と認証 | 特定個人情報ファイルを取り扱う情報システム、機器・端末等を特定しましたか? |
||
特定個人情報を取り扱うPC、サーバー等について、担当者識別情報(ID・パスワード等)の設定を行いましたか? |
|||
| 外部からの不正アクセス等の防止 | 特定個人情報ファイルを取り扱う情報システム、PC端末、ルーター、ネットワーク等の不正アクセス対策の現況を検討しましたか? | ||
| 特定個人情報等への不正アクセスを防止するための、特定個人情報を取り扱うPC、サーバー等の、セキュリティソフトウェア、監視ツール等の導入を検討しましたか? | |||
| 送信時の情報漏えい等の防止 | 特定個人情報ファイルを取り扱う情報システム、PC端末、ネットワーク等の外部送信の際の情報漏えい対策の現況を検討しましたか? | ||
| 特定個人情報等の外部送信の際の情報漏えいを防止するため、特定個人情報を取り扱うPC、サーバー等に暗号化ツールの導入や、ネットワークにVPN等の通信暗号化の導入を検討しましたか? | |||
| 組織 | 組織体制の整備 | 特定個人情報の取扱事務担当者、取り扱う特定個人情報等の範囲や、事務責任者の設置、各々責任の範囲について検討しましたか? | |
| 特定個人情報等の取扱いに関する社内規程の違反事実や漏えい等事案の発生について、報告連絡体制を整備しましたか? | |||
| 特定個人情報取扱規程の運用記録の整備 | 特定個人情報の利用出力、書類媒体等の持ち出し、授受確認、廃棄など、特定個人情報取扱いのルールを策定しましたか? | ||
特定個人情報の取扱いルールに従い、必要な帳票等を整備しましたか?
(例):特定個人情報取扱記録簿(利用記録簿、授受記録簿、廃棄記録簿)など |
|||
| 特定個人情報ファイルの取扱状況の確認手段の整備 | 特定個人情報ファイルの取扱状況の確認ルールと手段を検討しましたか? | ||
特定個人情報ファイルの取扱確認ルールに従い、必要な帳票等の整備を行いましたか?
(例):特定個人情報管理台帳など |
|||
| 情報漏えい等事案の対応体制の整備 | 特定個人情報の漏えい等事案が発生した場合の社会的な信用、本人への影響などのおそれなどを踏まえ、被害・影響を最小限とするための手順を検討しましたか? | ||
特定個人情報の漏えい等事案の対応手順に必要となる帳票等の整備を行いましたか?
(例):特定個人情報漏えい事故報告書、緊急事態対応記録簿など |
|||
| 特定個人情報の取扱状況の把握と安全管理の見直し | 取扱いをする特定個人情報や特定個人情報ファイルについて、漏えい、盗難等のリスクの識別と安全管理措置の妥当性を検討しましたか? |
||
| 定期的な監査や自己点検を実施できるように、監査の手順や監査項目についてまとめた監査計画書、監査チェックリスト等を整備しましたか? | |||
| 監査の結果や是正改善状況を適切に把握するための、監査報告書や是正改善事項報告書の様式を整備しましたか? | |||
| 人的 | 事務取扱担当者の監督・ 教育 | 研修内容、研修対象者、研修スケジュール等、従業者に対する研修計画の策定や、研修教材等を準備しましたか? | |
| 特定個人情報の秘密保持に関する事項について、就業規則や誓約書等への記載を検討しましたか? | |||
経営関係者やコンプライアンス部門などが、特定個人情報の取扱いに関する社内規程の整備状況について確認すべき事項を洗い出ししたチェックリストです。
項目 |
内容 |
参考資料 |
| 基本方針・取扱規程の策定 | 番号法やガイドライン等の指針を整理し、自社に関連する特定個人情報の取扱いに関して順守すべき事項について整理しましたか? |
|
番号法に関連する特定個人情報の順守事項について、関連するリスクと安全管理の対応方針を整理しましたか? |
||
特定個人情報の適正な取扱いに係る基本となる規程を策定しましたか?
(例)基本方針、取扱規程 など |
||
基本方針や取扱規程について、社内の所定の機関による承認(取締役会等)は済みましたか? |
||
| 関連する社内規程の見直し | 見直しが必要になる社内規程について、対象となる規程の洗い出しと追記・見直し事項を検討しましたか?
(例):組織管理規程、業務分掌規程、職務権限規程、文書管理規程、個人情報取扱規程、情報セキュリティ規程、内部監査規程、就業規則 など |
|
見直しをした社内規程について、社内の所定の機関による承認(取締役会等)は済みましたか? |
||
実務担当者が、特定個人情報等を取扱うための具体的な対応方法について記述した業務マニュアルや事務フローなどの手順書について整備しましたか?
(例):特定個人情報取扱、本人確認、安全管理措置対応、委託先管理マニュアル など |
||
| 業務マニュアルや事務フローなどの手順書について、所定の責任者による承認および実務担当者への周知は済みましたか? | ||
| 関連する帳票・様式の見直し | 特定個人情報の取扱いに関する帳票・様式の整備は済みましたか?
(例):特定個人情報管理台帳、特定個人情報取扱記録簿、緊急事態対応記録簿、個人番号提供依頼書、利用目的通知書、委任状、各種管理帳票 など |
 ひな形・様式集 |
特定個人情報の取扱いの研修・教育に関する帳票・様式の整備は済みましたか?
(例):研修教材、教育計画書、教育研修実施記録、誓約書、雇用契約書 など |
||
特定個人情報の取扱いの内部監査に関する帳票・様式の整備は済みましたか?
(例):リスク分析表、自己点検・監査チェックリスト、監査計画書、監査報告書、是正・改善事項報告書 など |
||
特定個人情報の取扱いの委託先管理に関する帳票・様式の整備は済みましたか?
(例):委託先選定基準、委託契約書、秘密保持契約書 など |
||
法定様式の変更に関する帳票・様式の整備は済みましたか?
(例):扶養控除申告書、源泉徴収票、支払調書、各種税関係の申告書・申請書・届出書、社会保険関係の資格取得・喪失届 など |
中小事業者の経営関係者や事務担当者などが、特定個人情報の取扱いに関する安全管理や具体的な取扱事項について確認すべき事項を洗い出ししたチェックリストです。なお、中小事業者に該当する事業者も、特定個人情報をサーバーで運用管理する、従業員以外の個人番号を多く取り扱うなどの場合には、中小事業者の特例的な対応方法ではなく、一般のガイドラインに示す手法の例示を採用するのが望ましいと考えられます。
項目 |
内容 |
参考資料 |
| 事務範囲 の明確化 |
個人番号を取扱う事務の範囲について検討しましたか?
(例):従業員の税、社会保険関係事務、株主・地主・有識者等の支払調書作成事務 など |
|
個人番号を取扱う事務における特定個人情報等の範囲について検討しましたか?
(例):通知カード等の写し等、特定個人情報ファイル、源泉徴収・年末調整関係書類、税・社会保険書類の控え など |
||
| 個人番号を取扱う事務に従事する事務担当者、責任者について検討しましたか? | ||
| 取得の取扱い | 個人番号を記載した書類を受取る場面と受取方法を検討しましたか?
(注):特定個人情報ファイルを作成するための個人番号の収集の場面、個人番号を記載した書類を受取る場面などに分けて検討 |
|
個人番号取得の際の本人確認方法を検討しましたか?
(注):本人確認書類の種類、確認の手順などを検討 |
||
| 個人番号を記載した書類を事務担当者に受渡しする方法を検討しましたか? | ||
| 利用の取扱い | 事務担当者が取扱う特定個人情報ファイルの種類や作成方法を検討しましたか?
(例):給与計算システム、エクセルファイル、個人番号台帳 など |
|
個人番号を記載した帳票の作成方法について検討しましたか?
(注):源泉徴収票、支払調書、社会保険関係書類 などについて検討 |
||
| 提供の取扱い | 個人番号を記載した帳票の行政官庁への提出方法について検討しましたか?
(例):税務署、市役所、年金事務所、ハローワーク など |
|
本人交付する帳票の個人番号の記載と交付のルールについて検討しましたか?
(例):源泉徴収票 など |
||
| 保存の取扱い | 特定個人情報の保存方法を検討しましたか?
(例):保管場所、所管部門、保存の手順などを検討 |
|
特定個人情報の保存期間について検討しましたか?
(例):管理方法、最低保存期間などを検討 |
||
| 削除・廃棄 の取扱い |
特定個人情報の削除・廃棄の手順について検討しましたか?
(例):廃棄対象の選定方法などを検討 |
|
特定個人情報の削除・廃棄の方法について検討しましたか?
(例):溶解、シュレッダー、データ削除ソフトウェアなど |
||
| 物理的安全管理措置 | 特定個人情報を取り扱う事務スペースにおいて、事務担当者以外が特定個人情報に触れないような作業環境の工夫を検討しましたか?
(例):壁又は間仕切り等の設置や、覗き見されない座席配置 など |
|
特定個人情報を取り扱うパソコン、USBメモリなどの電子媒体、書類等の盗難・紛失等を防止するために、紛失・盗難防止のためのルールを検討しましたか?
(例):書類等を盗まれないように書庫等のカギを閉める など |
||
特定個人情報が記録されたUSBメモリなどの電子媒体、書類等を持ち出す際の紛失・盗難等を防止するために、持ち出しに関するルールを検討しましたか?
(例):パスワードの設定、封筒に封入し鞄に入れて搬送する など |
||
パソコン内の個人番号や、特定個人情報ファイルを削除する場合、USBメモリなどの電子媒体、書類等を廃棄する場合の、削除・廃棄のルールを検討しましたか?
(例):特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する など |
||
| 技術的安全管理措置 | 情報システムを利用して個人番号の取扱事務を行う場合に、担当者以外の者に特定個人情報を勝手に見られないようにするための対策を検討しましたか?
(例):共有パソコンで管理をしない(特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。)
(例):共有パソコンの場合は、ユーザーアカウント制御により、特定個人情報にアクセスできる担当者を限定する(機器に標準装備されているユーザー制御機能により、情報システムを取り扱う事務取扱担当者を限定する。) |
|
情報システムを外部からの不正アクセスや不正ソフトウェアなどから保護するために、パソコンのセキュリティの取扱いやデータの取扱いに関する対策を検討しましたか?
(例):パソコンのセキュリティの見直し(ウイルス対策ソフトウェア等の導入、機器やソフトウェア等の自動更新機能等により、ソフトウェア等を最新状態にする など)
(例):データの取扱いの見直し(データの暗号化又はパスワードによる保護 など) |
||
| 組織的安全管理措置 | 事務取扱担当者が複数いる場合に、責任者と事務取扱担当者を区分と業務のチェック体制に関するルールの検討をしましたか? | |
特定個人情報等の取扱状況の分かる記録の保存方法を検討しましたか?
(例):業務日誌等に、特定個人情報の入手・廃棄、源泉徴収票の作成日、税務署への提出日等の、特定個人情報等の取扱い状況等を記録
(例):取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存 |
||
| 情報漏えい等の事案の発生等があった場合に備えて、従業者から責任ある立場の者に対する報告連絡体制等について検討をしましたか? | ||
| 人的安全管理措置 | 特定個人情報の取扱いルールについて、従業員に対する周知や教育の実施について検討しましたか? |
| ○ マイナンバー対応に役立つ『ワンポイントアドバイス』 | |||
|
マイナンバー制度への対応では、企業内にすでに運用される既存の業務プロセスに、個人番号を取扱う業務を、付加的に組み込むことになりますが、法令やガイドラインが要請する特定個人情報保護に係る各種制限事項や適切な取り扱いを確保するための安全管理措置を考慮しなければならないほか、多くの場合、企業内の複数の組織・業務プロセス・情報システムに影響が及ぶため、業務プロセス及び情報システムにおける不足事項の整備や従業者へのコンプライアンス教育などに十分な時間を確保することが重要になってきます。
事業者の対応では、限られた時間やリソースを有効利用し、無理・無駄のない対応をするために、制度対応に伴う影響の正確な把握と、事業者が自社の事業内容や組織規模、リスク評価などの状況に応じて行なう安全管理措置上の創意工夫が特に重要になると考えられます。
|
| ○ 『マイナンバー対策準備室』 記事一覧 | |||||||||||||||
|
|||||||||||||||
|
