就業規則がマイナンバー対応になっていない

[terurou]

No description provided.

[terurou]

#23 で対応予定

[Takashi-U]

#23 では3つの命題があるのですが、適宜、子Issueにしても良いでしょうか？それぞれ、割と文量も見込まれるので、できればその方がありがたいです。（OKでしたら、その一環でこちらを再度openしていただくとうれしいです。）

[terurou]

@Takashi-U Issue切りなおしました

[terurou]

@Takashi-U こちらの情報頂けると助かります。

[Takashi-U]

なるべく難しい言葉をやめて簡易に挙げますと、

• 作業する場所（作業場所。個室、間仕切り等）
• 管理する場所（紙面、ファイルやサーバー等保管場所）
• 機器の管理（書庫の鍵、サーバー室の鍵、セキュリティワイヤー等）
• 持ち出し方法（事務所内、事務所外問わず。）
• 廃棄（廃棄のタイミング、方法等）
• アクセス権の設定（パスワード等、技術的に取り扱い者のみアクセス出来るように）
• アクセスログ（誰がいつアクセスしたかを管理）
• 情報漏洩対策、セキュリティ
• 取扱責任者、取り扱い者の確定
• 取扱責任者による取り扱い者の管理
• 取り扱い者への教育

これらの対応があれば、概ね良いかと思います。
規定に盛り込むときには、それぞれの項目に対して条文を作っていけば良いです。

例）
第○条　特定個人情報取扱責任者
　会社から特定個人情報取扱責任者に選任された者は、特定個人情報の適正な管理に資するための必要な人的安全管理措置を講じなければならない。
2. 特定個人情報取扱責任者は、必要に応じて組織的安全管理措置、物理的安全管理措置、技術的安全管理措置の改善を会社に進言しなければならない。
3. 特定個人情報取扱責任者は、…

こういった粒度で記載をして、詳細については別途書面にしておけばと思います。
また、上記項目については、就業規則に記載する必要が無い事柄もあります。例えば、作業場所を用意するのは会社なので、

「会社は特定個人情報を取り扱うために、取扱者以外のものが特定個人情報にアクセス出来ない場所を準備しなければならない。」というような条文が仮に必要だとしても、就業規則にのせるものではありません。会社が単独でもっている責務なので当然です。

「取扱者は、会社から指定された場所以外で特定個人情報を取り扱ってはならない。」というのであれば、就業規則に載せるべきです。

ここで問題なのは、御社の体制として、現実問題役員がどれだけ実務に携わっているのかというところです。

代表取締役が特定個人情報に関する手続きを全て行う様な会社もあり、そういった場合には就業規則への対応は意味をなさないというケースもあります。
あるいは、代表取締役がここでいうところの責任者になれば、取扱者のみの記載になります。

いずれにしても、挙げさせていただいた項目の実態に応じてという事になるでしょう。
上記項目に対して、現況がどうかというところです。項目対応出来ているのであれば、現況を規則に落とし込むだけなので簡単ですが、出来ていないのであれば善処する必要があります。

[terurou]

マイナンバーの利用範囲については記述しました。
7049e3f

こちらの要件は理解できるのですが、軽く調べた感じでは、定義関連の記載量がかなり多そうなので、一から作るのは無理そうです。中小企業向けのモデル管理規定はないでしょうか？

作業する場所（作業場所。個室、間仕切り等）
管理する場所（紙面、ファイルやサーバー等保管場所）
機器の管理（書庫の鍵、サーバー室の鍵、セキュリティワイヤー等）
持ち出し方法（事務所内、事務所外問わず。）
廃棄（廃棄のタイミング、方法等）
アクセス権の設定（パスワード等、技術的に取り扱い者のみアクセス出来るように）
アクセスログ（誰がいつアクセスしたかを管理）
情報漏洩対策、セキュリティ
取扱責任者、取り扱い者の確定
取扱責任者による取り扱い者の管理
取り扱い者への教育

[Takashi-U]

こちらについても確認をしました。変更内容に問題はありませんでした。

[Takashi-U]

補足（ログ）です。ファイルの送付等が必要だったため、モデルについては先週別途DMをさせていただきました。こちらについては、現況ではこちらにアップ出来ないので、今週のところでDMからGitHubに調整の場を移したいと思います。

[terurou]

#34 で対応済み