Embed Size (px)
Citation preview
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved.
(マイナンバー制度)個人番号の取扱いに向けたタスクリスト
【改訂版】
平成28年1月
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 1
目 次
ご参考資料について
個人番号の取扱い開始までに準備が必要な項目の整理
(1) 3つの明確化
(2)基本方針の策定・ (3)取扱規程等の策定
(3)取扱規程等の策定(詳細)
(4)事務運営に向けた準備
・・・ P3
・・・ P4
・・・ P5
・・・ P7
・・・ P9
・・・ P19
(はじめに)本タスクリストは、現時点で明らかとなっている法令等に基づき、委託者様・基金様において、個人番号を取扱うにあたって、最低限必要と思われる内容につきまして、弊社にて各項目ごとに整理し、ご案内させていただくものです。ご準備の一助としてご活用いただければ幸甚でございます。
<本件についてのご照会先>
三井住友信託銀行 年金信託部 制度管理グループ
顧客サービス第1チーム・第2チーム ☎03-6256-3674基金サービスチーム ☎03-6256-3827
※平成27年9月14日にご案内の内容から変更のありました項目につきましては、星印(★)を付けております。
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 2
MEMO
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 3
ご参考資料について
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」・「(別添)特定個人情報に関する安全管理措置(事業者編)」・Q&Aに関しましては、以下の個人情報保護委員会のHPにてご確認ください。
(個人情報保護員会ホームページ : http://www.ppc.go.jp/legal/policy/document/)
厚生労働省の通知等は以下資料をご確認ください。
「企業年金等に関する特定個人情報の取扱い準則」(平成27年10月5日付通知)
http://www.smtb.jp/business/pension/pamail/e-news/mynotuuchii.pdf(平成27年11月12日付一部改正通知)http://www.smtb.jp/business/pension/pamail/e-news/mynotuuchikai.pdf
「企業年金等に関する特定個人情報の取扱いに関するQ&Aについて」(平成27年10月5日付通知)
http://www.smtb.jp/business/pension/pamail/e-news/mynotuuchiqa.pdf(平成27年12月15日付一部改正通知)
http://www.smtb.jp/business/pension/pamail/e-news/mynokoutuuchiqa.pdf
その他、マイナンバー制度の概要等に関しましては、弊社より以下資料を配信させていただいておりますのであわせてご確認ください。
○ ~弊社資料~平成26年9月配信:「マイナンバー(社会保障・税番号制度)と企業年金の実務における影響について」(URL:http://www.smtb.jp/business/pension/pamail/e-news/20140930siryou.pdf)○ ~弊社資料~平成26年12月配信:「(マイナンバー)「特定個人情報の適正な取扱いに関するガイドライン(事業者
編)」の公布について」(URL:http://www.smtb.jp/business/pension/pamail/e-news/141224tenpu.pdf )
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 4
個人番号の取扱い開始までに準備が必要な項目の整理
番号法第12条(個人番号関係事務実施者等の責務)個人番号利用事務実施者及び個人番号関係事務実施者(以下「個人番号利用事務等実施者」という。)は、個人番号の漏えい、滅
失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。
・個人番号の取扱いにあたっては、委託者様・基金様にて厳格な保護措置を講じていただく必要があります。
≪準備が必要な項目の整理≫委託者様・基金様にてご対応いただく必要のある項目は以下の(1)~(4)になります。それぞれの準備内容およびご留意事項を「タスクリスト」として掲載しておりますので、ご活用ください。
(1)事務運営開始前までに行うべきこと
(2)事務運営開始後に定例的または継続的に行うべきこと
(2)基本方針の策定 案文は別途ご案内させていただきます。
(3)取扱規程等の策定 案文や雛形等は別途ご案内させていただきます。
ア. 貴社・貴基金の安全管理措置を定めます
イ. 委託先・再委託先の安全管理措置の基準を定めます
〈安全管理措置等の義務〉
(4)事務運営に向けた準備
ア. 事務運営開始前までに行うべきこと
イ. 事務運営開始後に定例的または継続的に行うべきこと
厚生労働省通知 を遵守した措置(企業年金等に関する特定個人情報の取扱い準則)
(1)3つの明確化
NEW
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 5
(1)3つの明確化
安全管理措置の検討については、まず次の3つの明確化が必要です。
1.取扱事務の範囲の明確化企業年金における個人番号の取扱事務の範囲は、“厚生年金基金の年金又は一時金の支給に関する源泉徴収票等作成事務”または“確定給付企業年金の年金又は一時金の支給に関する源泉徴収票等作成事務”になります。その他の事務(給与の支払いなど)においても、委託者様・基金様にて個人番号を取扱う事務について洗い出しが必要です。
2.特定個人情報の範囲の明確化特定個人情報(=個人番号を含む個人情報)の範囲は以下の通りとなります。・受給権者から受領する個人番号が記載された申告書等及び本人確認書類・源泉徴収票等作成事務の委託先へ個人番号を提供する場合の書類・電子媒体等・その他個人番号と関連付けられて保存される情報
3.事務取扱担当者の明確化個人番号を取扱う事務についての事務取扱担当者の選任が必要です。
誰(どこのチーム・課)が個人番号を取扱う事務を行うのか???
個人番号を取扱う事務はあるか???
個人番号と一緒に管理される個人情報、個人番号が記載される書類って何か???
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 6
NO 項目 内容 ご留意事項完了
チェック
1個人番号を取扱う事務の範囲の明確化
個人番号を取扱う事務を特定する必要があります。企業年金における個人番号を取扱う事務の範囲は“厚生年金基金の年金又は一時金の支給に関する源泉徴収票等作成事務”または“確定給付企業年金の年金又は一時金の支給に関する源泉徴収票等作成事務”になります。
その他、健康保険等の届出、給与等の源泉徴収事務などでも個人番号を取扱うことになります。委託者様・基金様における事務について横断的にご確認いただき、その他の業務において、個人番号を取扱う事務がないかをご確認ください。
□
2特定個人情報等の範囲の明確化
個人番号を取扱う事務において個人番号と紐付けて管理する個人情報(=特定個人情報)を特定する必要があります。企業年金においては、受給権者様の氏名、性別、生年月日、住所などの個人番号と紐付けて管理される情報や本人確認書類・申告書などが該当します。
NO1で特定した個人番号を取扱う事務毎にご確認が必要です。なお、弊社では、受給権者様の個人番号につきましては、「個人番号届」又は、「退職所得の受給に関する申告書」をご提出いただきます。
□
3 事務取扱担当者等の明確化①
個人番号を取扱う事務における事務取扱責任者、事務取扱担当者を選任する必要があります。(例1)
事務取扱責任者:人事部給与厚生課課長事務取扱担当者:人事部給与厚生課所属員
(例2)事務取扱責任者:事務長事務取扱担当者:給付事務担当者
個人番号を取扱う事務の取扱担当部署を定め、当該部署における組織図等により、責任や役割を明確にすることが必要です。
《ご参考》ガイドラインQ&AQ10-2 「事務取扱担当者」の範囲について~URL~http://www.ppc.go.jp/files/pdf/151030_guidelineqa.pdf
□
4 事務取扱担当者等の明確化②
個人番号を取扱う事務における特定個人情報の取扱いについて統括的な管理を行う責任者を選任する必要があります。(例1)
特定個人情報管理責任者:人事部長(例2)
特定個人情報管理責任者:常務理事
□
(1)3つの明確化(タスクリスト)
確認や対応が終わったらチェックしてください
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 7
3つの明確化を踏まえて、
「基本方針の策定」と「取扱規程等の策定」が必要です。
1.基本方針の策定特定個人情報等の適正な取扱いの確保について組織として取組むために、基本方針を策定することが必要です。⇒企業年金分野については、策定が義務化されました
2.取扱規程等の策定3つの明確化によって特定した個人番号を取扱う事務について、特定個人情報等の具体的な取扱いを定める取扱規程等の策定が必要です。
企業年金連合会とともに、企業年金における基本方針・取扱規程等の雛形を作成いたしました。⇒平成27年12月28日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第19回)」、
平成28年1月5日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第20回)」をご確認ください。
(2)基本方針の策定 ・(3)取扱規程等の策定
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 8
NO 項目 内容 ご留意事項完了
チェック
1基本方針の策定
(個人番号を取扱う事務を)委託する場合でも、特定個人情報等の適正な取扱いの確保について組織として取組むために、特定個人情報等に関する基本方針を策定(個人情報保護方針等の改訂でも可)する必要があります。
・企業年金分野は策定が義務化されました(「企業年金等に関する特定個人情報の取扱い準則」)・個人情報保護法に関連する基本方針等が既に存在する場合は当該基本方針等の改訂でも問題ありません。基本方針に定めるべき項目として、ガイドラインにおいては、以下4項目が挙げられています。1.事業者の名称2.関係法令やガイドラインの遵守3.安全管理措置に関する事項4.問合せ窓口
□
2取扱規程等の策定
個人番号を取扱う事務について、事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定する必要があります。
・「取得」・「利用」・「保存」・「提供」・「廃棄」の各段階ごとに、取扱方法・責任者・取扱担当者・業務内容等を定めるとともに、「安全管理措置」を織り込む必要があります。
□
企業年金連合会の基本方針の雛形については、平成27年12月28 日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第19回)」、平成28年1月5 日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第20回)」をご確認ください。
年金e-NEWSにてご案内いたしました取扱規程等の雛形は、企業年金における個人番号の取扱いフロー等について個別に定めたものになります。その他の個人番号を取扱う事務にかかる特定個人情報等にかかる取扱規程等を定められる場合においては、「企業年金にかかる特定個人情報の取扱いについては別途定めること」としていただき、企業年金にかかる個人番号の取扱いフロー等については、弊社よりご提供させていただく取扱規程等の雛形を基に別途策定いただくことを想定しております。
(2)基本方針の策定・(3)取扱規程等の策定(タスクリスト)
企業年金連合会の取扱規程の雛形については、平成27年12月28日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第19回)」 、平成28年1月5 日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第20回)」をご確認ください。
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 9
・ステップ1:事務の流れの整理
NO 項目 内容 ご留意事項完了
チェック
1 事務の流れの整理具体的な取扱いを定めるため、まずは、当該個人番号を取扱う事務の流れを整理する必要があります。
企業年金における個人番号を取扱う事務(厚生年金基金の年金又は一時金の支給に関する源泉徴収票等作成事務/確定給付企業年金の年金又は一時金の支給に関する源泉徴収票等作成事務)のフローにつきましては、次のページ<企業年金における個人番号の取扱い事務フロー図(例)>をご参照ください。
□
2 管理段階の特定
整理した事務の流れにおいて、「取得する段階」・「利用する段階」・「保存する段階」・「提供を行う段階」・「削除・廃棄を行う段階」の管理段階を特定し、安全管理措置を検討する必要があります。
企業年金における個人番号を取扱う事務における管理段階の特定例につきましては、次のページ<企業年金における個人番号の取扱い事務フロー図(例)>をご参照ください。
□
(3)取扱規程等の策定(詳細)
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 10
時期 退職者 委託者様・基金様 弊社退職時
翌年1月【個人番号の提供】
【個人番号の利用】
【個人番号の提供】
・ステップ1:事務の流れの整理<企業年金における個人番号の取扱い事務フロー図(例)>
【個人番号の取得】
給付指図
裁定請求書(指図書) 個人番号届
指図書受付・登録
指図書 個人番号届
【個人番号の保存】 ご報告資料等の発送
源泉徴収票
処理報告書(指図書)
処理報告書(個人番号)
源泉徴収票
処理報告書(個人番号)
登録結果確認【個人番号の廃棄】
本人確認書類
本人確認書類
裁定裁定請求本人確認裁定請求書
(指図書)
個人番号届 本人確認書類
処理報告書(指図書)
<税務署宛提出> 源泉徴収票
源泉徴収票の作成
年金新規裁定(3)取扱規程等の策定(詳細)
事務フローにつきましては、平成27年10月16日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第7回)」もご参照ください
(個人番号の記載なし)
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 11
・ステップ2:安全管理措置の検討
NO 項目 内容 ご留意事項完了
チェック
1責任・役割等の明確化
6ページで明確化した事務取扱担当者等について、責任・役割等を明確化する必要があります。
複数部署等で取扱う場合についても、事務の分担(役割)・責任等について明確化してください。
□
2運用状況を確認するための記録手段の整備
運用状況を確認するため、システムログまたは利用実績を記録する必要があります。
・企業年金分野については、「特定個人情報ガイドライン」の(別添)「特定個人情報に関する安全管理措置(事業者編)」に則り策定した取扱規程等に基づく運用状況を確保するため、システムログ又は利用実績を記録し、一年程度保存することが定められています。(「企業年金等に関する特定個人情報の取扱い準則」第二 安全管理措置 参照)・「持出し」「廃棄」「特定個人情報ファイルへのアクセスログ」等の記録簿の作成および作成ルールの策定が考えられます。
□
組織的安全管理措置
組織的安全管理措置
(3)取扱規程等の策定(詳細)
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 12
NO 項目 内容 ご留意事項完了
チェック
3情報漏えい事案に対する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するために、社内の報告連絡体制やルールを整備する必要があります。
具体的には、情報漏えい等の事案が発生した際の、①個人情報保護委員会や所管官庁等行政への報告等のルール策定②社内ルールの整備(報告、影響調査・原因分析、再発防止策の策定)等が考えられます。
《ご参考》(平成28年1月1日施行予定)特定個人情報の漏えいその他の特定情報の安全の確保に係る重大な事態の報告に関する規則~URL~ http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000014&Mode=3
□
4点検・監査にかかる体制の整備
特定個人情報等の取扱状況について、自己点検や内部監査(他部署による監査)、監査法人等による外部監査を定期的に行うための体制やルールを整備する必要があります。
取扱規程等のとおりに運用がされているか定期的にご確認いただく必要があります。 □
組織的安全管理措置
(3)取扱規程等の策定(詳細)
・ステップ2:安全管理措置の検討
組織的安全管理措置
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 13
・ステップ2:安全管理措置の検討
NO 項目 内容 ご留意事項完了
チェック
5事務取扱担当者の監督・教育
特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う必要があります。また、特定個人情報等が取扱規程等に基づき適正に取扱われるよう、下記のような施策を行ってください。・就業規則等に秘密保持に関する事項を盛り込む または 宣誓書・誓約書を受領する・事務取扱担当者への定期的な研修 等
□
6特定個人情報等を取扱う区域の明確化
個人番号が記載された書類等を取扱う区域を、「取扱区域」(特定個人情報を取扱う事務ゾーン)として、一般事務室等と壁や間仕切り等の設置、座席配置の工夫等の措置を講じる必要があります。
・企業年金分野については、仕切られた空間で限られた者のみが特定個人情報等を取り扱うことを徹底することが義務化されました。(「企業年金等に関する特定個人情報の取扱い準則」第五 法定調書等記載事務 参照)・人事システム等で個人番号(データ)を管理する場合、当該システム等を管理する区域は「管理区域」(特定個人情報ファイルを管理するシステムゾーン)として、入退室管理(ICカードやナンバーキー等)や持込制限等の物理的安全措置を講じる必要があります。・(法定調書等の作成を行う基金様のみ)電子計算機より印刷又は、人の手で書き写す等の作業を通じて、法定調書等を作成する場合は、紛失防止のため、書類等の枚数確認を行う必要があります。
□
人的安全管理措置
(3)取扱規程等の策定(詳細)
物理的安全管理措置
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 14
・ステップ2:安全管理措置の検討
NO 項目 内容 ご留意事項完了
チェック
7機器及び電子媒体等の盗難等の防止
・「取扱区域」において、当該書類や、特定個人情報等を扱うPCの盗難等の防止のために、当該書類・機器等を保管する、施錠が可能なキャビネット・金庫等が必要です。
・企業年金分野については、電子媒体については、暗号化又はパスワードの付与、鍵のついた金庫に保管する等外部より遮断する環境で保管し、定期的なパスワード変更、一週間に一回等実状に合わせた事務取扱担当者による保管状況の定期的確認をルール化してください。(「企業年金等に関する特定個人情報の取扱い準則」第二 安全管理措置 参照)・機器(端末)のみで運用されている情報システム(PC)を利用されている場合は、当該機器をセキュリティワイヤー等で固定する措置が必要です。
□
8特定個人情報等の記載された書類等を持ち出す場合の漏えい等の防止
個人番号が記載された書類等の特定個人情報を「持ち出し」(移動)する場合のルール・措置を策定する必要があります。
・「持ち出し」とは、管理区域・取扱区域外に特定個人情報等を持ち出すことを指します。特定個人情報等が記載された書類や電子媒体を「持ち出し」する場合は、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等の安全策を講じることとされています。・企業年金分野については、本人以外の者(委託先)に対して送付する場合は、以下の取り扱いとする必要があります。(「企業年金等に関する特定個人情報の取扱い準則」第二 安全管理措置 参照)①電子媒体:データの暗号化又はパスワードの付与、施錠できる搬送容器の使用等、送付履歴が分かる方法②書面:施錠できる搬送容器の使用等、送付履歴が分かる送付方法
□
物理的安全管理措置
物理的安全管理措置
(3)取扱規程等の策定(詳細)
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 15
・ステップ2:安全管理措置の検討
NO 項目 内容 ご留意事項完了
チェック
9個人番号の削除、機器及び電子媒体等の廃棄ルール
個人番号が記載された書類(その控え)や電子媒体、データを有する機器の廃棄ルールを策定し、廃棄状況等を記録簿で管理する必要があります。
・書類等の廃棄は、焼却または溶解等の復元できない手段を採用する必要があります。・企業年金分野については、外部に情報が漏れないよう、十分なセキュリティ措置を講じた上で廃棄する必要があります。(「企業年金等に関する特定個人情報の取扱い準則」第二 安全管理措置 参照)
□
10削除・廃棄漏れのない体制構築
保存期限経過後における個人番号の削除・廃棄を前提とした情報システムの構築および事務手続きを定める必要があります。
保存・保管する際は、「削除期日」毎にファイリングするなどの方法が考えられます。
□
物理的安全管理措置
物理的安全管理措置
(3)取扱規程等の策定(詳細)
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 16
・ステップ2:安全管理措置の検討
NO 項目 内容 ご留意事項完了
チェック
11 アクセス制御
個人番号を管理する情報システムや特定個人情報ファイルへのアクセスについては、ユーザーIDによるアクセス権の設定等により事務取扱担当者に限定する必要があります。
・事務取扱担当者以外の方が特定個人情報にアクセスできないよう、ユーザーID・パスワード等により閲覧できる情報を限定する、システムへのアクセスを制限するなどの方法が考えられます。・企業年金分野については、事務担当者以外は電子計算機を扱わないようにすること、特定個人情報等に付与したパスワードは定期的に変更し、事務取扱担当者間のみ共有することが必要です。(「企業年金等に関する特定個人情報の取扱い準則」第二 安全管理措置 参照)
□
12不正アクセス・情報漏えい等の防止
特定個人情報ファイル等の保管や授受においては、情報漏えい等の防止のために措置を講じていただく必要があります。
・情報システム等のファイヤーウォールによる外部ネットワークからの不正アクセス遮断
・通信経路の暗号化やシステム内に保存されるデータの暗号化
・特定個人情報等を取り扱う基幹システム等や、作業を行うパソコン等については、インターネットと物理的又は論理的に切断する必要があります。・電子計算機上にデータを保存する場合は暗号化又はパスワードを付与し、パスワードは定期的に変更する必要があります。・通信を用いて送信する場合は、暗号化又はパスワードを設定した上で、電子メール等では無く、セキュリティが確保された通信経路を使用する必要があります。・安全管理措置の観点から、年金管理システム上での個人番号に関する照会・データ送信機能はご利用いただけません。弊社宛にデータ形式で「個人番号届」をご提出いただく場合は、「クリプト便」または電子媒体をご利用ください。
□
技術的安全管理措置
技術的安全管理措置
(3)取扱規程等の策定(詳細)
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 17
「個人番号」を取扱う事務の全部または一部について委託をすることが可能です。委託をする場合は、委託先にて安全管理措置が講じられるように必要かつ適切な監督を行う必要があります。
・ステップ3:委託先(再委託先)の安全管理措置の確認
NO 項目 内容 ご留意事項完了
チェック
1特定個人情報等を取扱う事務における委託先の特定
特定個人情報等を取扱う事務等を委託している委託先について確認する必要があります。
異なる法人間での個人番号の提供は番号法にて制限されます。母体企業やグループ会社等で個人番号の提供が発生する場合には、「委託契約」の締結のご検討が必要です。<弊社にて源泉徴収票等を作成している場合>
委託者様・基金様にとって、弊社は特定個人情報等を取扱う事務の委託先となります。
□
2委託先の評価基準・選定基準の策定
特定個人情報等に関する安全管理措置について、既存の委託先の評価基準(新たに委託先とする場合には選定基準)を設ける必要があります。
自らが果たすべき安全管理措置と同等の措置が講じられている必要があります。評価項目としては、委託先における安全管理措置の状況や経営環境等が考えられます。
□
3委託先の安全管理措置の確認
NO2で定めた評価基準に基づき、安全管理措置が講じられるか否かを確認してください。
<弊社にて源泉徴収票等を作成している場合>
弊社における安全管理措置につきましては、別途ご報告させていただきます。
□
4委託先の特定個人情報等の授受
委託先との特定個人情報等の授受について、ルールや方策を定める必要があります。
14ページNO8で策定しました「特定個人情報の持ち出しルール」に準じたルール・方策としてください。
□
(3)取扱規程等の策定(詳細)
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 18
NO 項目 内容 ご留意事項完了
チェック
5委託契約の締結/契約書の見直し
委託先に安全管理措置を遵守させるため、委託契約を締結する必要があります。既存の契約がある場合には、特定個人情報等の取扱いにおいて盛り込むべき契約の内容が規程されているかご確認ください。
企業年金分野については、盛り込むべき契約の内容については、以下の通りです。(1) 秘密保持義務(2) 事業所内からの特定個人情報等の持ち出しの禁止(ただし、委託元又は再委託先への持ち出しの場合は除く)(3) 特定個人情報等の目的外利用の禁止(4) 再委託における条件(5) 漏えい事案等が発生した場合の委託先の責任(6) 委託契約終了後の特定個人情報等の返却又は廃棄(7) 特定個人情報等を取り扱う従業者の明確化(8) 従業者に対する監督・教育(9) 契約内容の遵守状況についての報告(10)必要があると認めるときは委託先に対して実地の調査を行うことができること(「企業年金等に関する特定個人情報の取扱い準則」第二 安全管理措置 参照)
□
6 再委託先の確認特定個人情報等の委託先において、再委託先がないか確認してください。再委託先については、「許諾」の手続きを行う必要があります。
企業年金分野については、再委託の許否を判断するには、再委託先について適切な安全管理措置が講じられていることを委託先を通じて確認してください。(「企業年金等に関する特定個人情報の取扱い準則」第二 安全管理措置 参照)
□
(3)取扱規程等の策定(詳細)
・ステップ3:委託先(再委託先)の安全管理措置の確認
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 19
ア.事務運営開始前までに行うべきこと
①平成28年1月以降の新規裁定者への対応
NO 項目 内容 ご留意事項完了
チェック
1<基金様>
(退職時)新規裁定の個人番号の取得方法の検討
退職時の新規裁定者についての個人番号の取得方法をご検討ください。①実施事業主様を通じて収集②基金様が直接収集
・実施事業主様を通じて、個人番号を取得される場合は、17ページからの「委託先(再委託先)の安全管理措置の確認」に従って、実施事業主様と委託契約を締結する必要があります。
□
2 利用目的の事前周知
<DB規約型の委託者様、実施事業主様へ個人番号取得事務の委託を行う基金様>
企業年金における年金又は一時金の支給に関する源泉徴収票等作成事務において個人番号を利用することを、就業規則へ記載する等の方法により事前に利用目的の周知をしてください。
個人番号の利用目的の通知等の方法は、書類の提示のほか社内LAN、ポータルサイトにおける通知が挙げられます。
□ご参考:<新規裁定者から直接個人番号を取得する場合>
企業年金における年金又は一時金の支給に関する源泉徴収票等作成事務において個人番号を利用することについて、裁定請求書等の手続書類を案内される際等に通知することになります。なお、弊社では個人番号提出用書類に利用目的を明示させていただいており、当該書類をご提示いただくことで利用目的の通知が可能です。
3 事務フローの整備退職者への必要書類の案内、裁定請求書等の受領・確認、受託機関への提出など事務フローを整備してください。
【弊社ご提供資料】・マイナンバー事務説明会資料※平成27年10月16日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第7回)」をご参照ください
□
4
平成28年1月以降の退職(資格喪失)予定者に対して、年内に手続きをご案内する際の取扱い
平成28年1月1日以降に退職予定の社員に対して、年内に企業年金の年金・一時金に関する手続きを案内する場合は、個人番号に対応した書類や用度品で手続きを行ってください。
【弊社ご提供資料】・「個人番号届」(用度品(帳票)・EXCEL)・「退職所得の受給に関する申告書」(用度品(帳票))平成28年以降に税務署等に提出する源泉徴収票等に個人番号の記載が必要となります。
□
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 20
②繰下者・未裁定待期者への対応(平成27年12月末目途)
NO 項目 内容 ご留意事項完了
チェック
1
繰下中・未裁定待期中の方で、平成28年1月以降に年金・一時金の受給を開始する方向けの対応
繰下中・未裁定待期中の方で、平成28年1月1日以降に受給される、年金・一時金の給付のお手続きをされる際は、個人番号に対応した書類や用度品で手続きを行ってください。
【弊社ご提供資料】・「個人番号届」(用度品(帳票)・EXCEL)・「退職所得の受給に関する申告書」(用度品(帳票))平成28年以降に税務署等に提出する源泉徴収票等に個人番号の記載が必要となります。
□
③年金受給中者様への対応(平成27年10月末目処)
NO 項目 内容 ご留意事項完了
チェック
1 個人番号の取得方法を検討
受給者様の数や取得コスト等を考慮し、受給者様の個人番号の取得方法を検討・決定してください。①受給者様から直接取得②企業年金連合会を通じた取得③専門会社等へ委託し取得
①につきましては、弊社にて平成28年1月の受給者様宛の源泉徴収票の発送時に、個人番号のご提出のご依頼文書を同封させていただきご案内することが可能です。当該同封対応をご希望される委託者様・基金様につきまして、別途ご照会をさせていただく予定です。②・③につきましては、委託した旨の受給者様への周知につきましてもご検討ください。
⇒①~③のそれぞれの取得方法にかかる事前準備につきましては、次ページ以降をご参照ください。
【弊社ご提供資料】・平成27年8月28日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第2回)」左記3つの取得方法のメリット・デメリットについて纏めております。
□
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 21
選択肢①:受給者様から直接取得
NO 項目 内容 ご留意事項完了
チェック
1収集フローの検討・決定(実施時期目安:
~平成28年1月)
受給者様の個人番号の取得にかかる事務フローを検討してください。例:個人番号の授受にかかる方法の検討、お問い合わせ窓口の設置など
受給者様から個人番号を直接取得される場合は、取扱規程等に①届出の様式、②届出すべき全ての事項を定める必要があります。当該規定等に沿って、書類の授受・保管等の対応が必要となることに加え、受給者様からのお問合せへの対応、書類等不備時の受給者様への照会・確認も必要となります。
□
2
受給者様への個人番号の提供依頼(利用目的の通知を含む)(実施時期目安:
~平成28年1月)
受給者様宛に、個人番号の提出にかかる依頼および利用目的の通知を行ってください。※利用目的:企業年金における年金又は一時金の支給に関する源泉徴収票等作成事務
対応をご希望される旨ご回答をいただきました委託者様・基金様につきましては、弊社にて平成28年1月の受給者様宛の源泉徴収票の発送時に、個人番号のご提出のご依頼文書を同封させていただきご案内いたします。
□
3個人番号の取得(実施時期目安:
平成28年1月~8月)
受給者様から返信された個人番号については、本人確認を実施のうえ、弊社宛てに送付してください。(本人確認書類については弊社宛のご提出は不要です)
【ご提供資料】・「個人番号届」(用度品(帳票)・EXCEL)
・受給者様からは、「個人番号届」と一緒に、本人確認書類をご提出いただき、「番号確認」+「身元確認」を行ってください。・本人確認書類が添付されていなかったり、不備があった場合は、受給者様に正しい本人確認書類を送付いただくようにご案内ください。
□
事前手続き・個人番号の取得(~平成28年8月末目処)
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 22
選択肢②:企業年金連合会を通じた取得の場合
事前手続き等(速やかに)
NO 項目 内容 ご留意事項完了
チェック
1 規約の確認/整備規約に、企業年金連合会への「情報収集等業務にかかる情報提供」の委託にかかる規定が記載されていることを確認してください。
記載内容は以下の通りです。<DB規約型の委託者様>
「事業主は、前項に規定する業務のほか、企業年金連合会(法第91条の2第1項に規定する企業年金連合会をいう。以下「連合会」という。)に、給付の支給を行うために必要となる加入者等に関する情報の収集、整理又は分析に関する業務を委託することができる。」<(DB・厚生年金)基金様>
「基金は、前項に規定する業務のほか、連合会に、給付の支給を行うために必要となる加入者等に関する情報の収集、整理又は分析に関する業務を委託することができる。」
□
2 規約の変更上記規定が無い場合は、規約変更手続きが必要となります。お手続き内容については、右記ご留意事項に記載の資料をご参照ください。
【弊社ご提供資料】<DB規約型の委託者様>
(平成27年8月7日付)SuMiTRUST年金ニュース<(DB・厚生年金)基金様>
「平成26年度決算代議員会の議決事項及び報告・承認等の事項について」
□
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 23
選択肢②:企業年金連合会を通じた取得の場合
NO 項目 内容 ご留意事項完了
チェック
3 加入者等への十分な周知
「企業年金等に関する特定個人情報の取扱い準則」に従い、個人番号取得事務を企業年金連合会へ委託する事に加えて、規約等の変更について、加入者等へ十分な周知を行います。
「周知」の内容・方法について、厚生労働省に確認中です。(「企業年金等に関する特定個人情報の取扱い準則」第七 企年連、国基連又は企業年金等における規約等の整備について 参照)
□
4 業務委託契約企業年金連合会と「情報収集等業務にかかる情報提供」について業務委託契約を締結する必要があります。
詳細については、平成27年12月25日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第18回)」をご参照ください
□
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 24
照会作業(平成28年1月~9月末目処) ※詳細については判明次第ご案内いたします。
選択肢②:企業年金連合会を通じた取得の場合
NO 項目 内容 ご留意事項完了
チェック
1 仮照会作業
仮照会データを作成し、企業年金連合会へ送付してください。データ作成方法等の作業内容については、右記ご留意事項に記載の資料をご参照ください。
【弊社ご提供資料】・仮照会データ作成ツール(詳しくは、平成27年8月28日付年金e-NEWS「企業年金制度へのマイナンバー制度の影響について(第2回)」をご参照ください)
□
2 同定作業仮照会の回答結果に基づいて、本照会を行うべき対象者のデータを特定してください。
同定作業とは、仮照会の回答結果に基づき、照会対象者を特定する作業のことを言います。
□
3 本照会作業上記同定作業で特定した対象者のデータを基に、企業年金連合会へ照会を行ってください。連合会から個人番号が還元されます。
・本照会作業については、詳細判明次第、弊社より別途ご案内いたします。・連合会から入手した個人番号等を含むデータについては、データファイルのパスワードによる保護や電子媒体を施錠可能なキャビネット等への格納する等の安全管理措置をとっていただく必要があります。
□
4「個人番号届」の作成および弊社宛ての提出
「個人番号届」(用度品(帳票)・EXCEL)を作成いただき、弊社宛にご提出ください。
【ご提供資料】・「個人番号届」(用度品(帳票)・EXCEL)
□
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 25
選択肢③:専門会社等へ委託し取得する場合
NO 項目 内容 ご留意事項完了
チェック
1 専門会社等との契約
専門会社等にサービス内容・費用等を確認してください。受給者様の個人番号収集を委託する収集業者を確定し、契約を締結してください。
(ご参考)費用としては、概ね1名あたり1,000円~1,500円のようです。
・「個人番号」を扱う事務の委託になりますので、委託先の安全管理措置の確認等が必要になります。・17ページの「委託先(再委託先)の安全管理措置の確認」に従って、契約の締結を行ってください。
□
2専門会社等からの受給者様の個人番号の入手
専門会社等が収集した受給者様の個人番号を入手してください。
・専門会社等との書類、電子媒体、データの授受については、「企業年金等に関する特定個人情報の取扱い準則」に従って、簡易書留等履歴の分かる方法や、パスワードによる保護、暗号化等の措置を行う必要があります。・専門会社等から入手した個人番号等の特定個人情報については、データであればパスワードによる保護、書類であれば施錠可能なキャビネットへ保管する等安全管理措置をとっていただく必要があります。
□
3「個人番号届」の作成および弊社宛ての提出
「個人番号届」(帳票・EXCEL)を作成いただき、弊社にご提出ください。
【ご提供資料】・「個人番号届」(用度品(帳票)・EXCEL)
□
事前手続き・個人番号の取得(~平成28年8月末目処)
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 26
イ.事務運営開始後に定例的または継続的に行うべきこと
NO 項目 内容完了
チェック
1 取扱規程等に沿った事務運営 取扱規程等に沿った事務運営となっているか確認する必要があります。 □
2 保管状況の確認電子媒体については、事務取扱担当者により、一週間に一回等定期的に保管状況を確認する必要があります。 □
3 定期的なパスワードの変更電子計算機上等に保存したデータに付したパスワード等については、定期的に変更する必要があります。 □
4 個人番号未登録者への対応個人番号の未登録者状況についてご確認いただく必要があります。必要に応じて督促等の対応を行っていただく必要があります。なお、弊社より、個人番号の「未登録者一覧」を作成・ご還元させていただく予定です。
□
5 定期的な点検・監査特定個人情報等の取扱状況について、定期的に自己点検や内部監査(他部署による監査)を行っていただく必要があります。 監査法人等による監査を行う方法もあります。 □
6委託先、再委託先への定期的な監査
委託先および再委託先について、委託業務の状況について定期的に報告を受ける等し、定期的な監査を行う必要があります。 □
7 事務フローの見直し定期的に事務フローに変更がないか見直しを行い、必要に応じて取扱規程等を見直す必要があります。 □
8事務取扱担当者への継続教育の実施
特定個人情報を取扱う担当者に対し、その責務の重要性を認識させ、具体的な特定個人情報の保護措置に習熟させるため、研修等を実施し、継続教育を行う必要があります。 □
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 27
イ.事務運営開始後に定例的または継続的に行うべきこと
NO 項目 内容完了
チェック
9退職者等から収集した個人番号や、本人確認書類の適切な保管
取扱規程等に従い、受給権者から収集した「個人番号届」の写しや、本人確認書類等を適切に保管する必要があります。 □
10退職者等から収集した個人番号や、本人確認書類の廃棄・削除
取扱規程等に従い、受給権者等から収集した「個人番号届」の写しや、本人確認書類等を一定期間経過後に適切な方法で廃棄・削除を行う必要があります。 □
(4)事務運営に向けた準備
Copyright © 2016 SUMITOMO MITSUI TRUST BANK, LIMITED All rights reserved. 28
MEMO
本資料は、作成日において弊社が信頼できると判断した情報等に基づいて作成したものであり、その情報の正確性・確実性について保証するものではありません。また、今後の金融情勢・社会情勢等の変化により、内容が変更となる場合がございます。
