特定個人情報取扱規程

小野英範税理士事務所

1章　総則

(目的)

第1条本規程は、小野英範税理士事務所(以下「事務所」という。)が個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いを確保するために必要な事項を定めることを目的とする。本規程は、会社が「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成 25 年法律第 27 号、以下「番号法」という。)、「個人情報の保護に関する法律」(平成 15 年法律第 57 号、以下「個人情報保護法」という。)及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、会社の取り扱う特定個人情報等の適正な取扱いを確保するために定めるものである。

　本規程は、特定個人情報の「取得する段階」、「利用を行う段階」、「保管する段階」、「提供を行う段階」、「削除・廃棄を行う段階」における留意事項及び安全管理措置について定めるものである。

(定義)

第2条本規程で掲げる用語の定義は、次のとおりとする。なお、本規程における用語は、他に特段の定めのない限り、番号法その他の関係法令の定めに従う。

①「個人情報」とは、番号法第2条第3項及び個人情報保護法第2条第1項に規定する個人情報であって、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

②「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの(番号法第2条第6項及び第7項、第8条並びに第 67 条並びに附則第3条第1項から第3項まで及び第5項における個人番号)をいう。

③「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第 67 条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。

④「特定個人情報等」とは、個人番号及び特定個人情報を併せたものをいう。

⑤「個人情報ファイル」とは、個人情報データベース等であって、行政機関及び独立行政法人等以外が保有するものをいう。

⑥「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。

⑦「保有個人データ」とは、本項第 12 号の個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する特定個人情報であって、その存否が明らかになることにより公益その他の利益が害されるものとして個人情報保護法施行令で定めるもの、又は6か月以内に消去することとなるもの以外のものをいう。

⑧「個人番号利用事務」とは、行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。

⑨「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。

⑩「個人番号利用事務実施者」とは、個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。

⑪「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。

⑫「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者 (国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)であって、個人情報データベース等を構成する個人情報によって識別される特定の個人の数(個人情報保護法施行令で定める者を除く。)の合計が過去6か月以内のいずれの日においても 5,000 を超えない者以外の者をいう。

⑬「社員」とは、会社の組織内にあって直接又は間接に会社の指揮監督を受けて会社の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、会社との間の雇用関係にない者(取締役、監査役、派遣社員等)を含む。

⑭「事務取扱担当者」とは、会社内において、個人番号を取り扱う事務に従事する者をいう。

⑮「責任者」とは、特定個人情報等の管理に関する責任を担う者をいう。

⑯「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域をいう。

⑰「取扱区域」とは、特定個人情報等を取り扱う事務を実施する区域をいう。

(会社が個人番号を取り扱う事務の範囲)

第3条会社が個人番号を取り扱う事務の範囲は、以下のとおりとする。

社員及び社員の扶養家族の個人に係る個人番号関係事務	給与所得・退職所得の源泉徴収票に関する事務
	地方税に関する事務
	雇用保険法に関する事務
	健康保険法・厚生年金保険法に関する事務
	労働者災害補償保険法に基づく請求に関する事務
	国民年金法の第3号被保険者制度に関する事務



上記以外の個人に係る個人番号関係事務	報酬・料金等の支払調書作成事務
	配当、剰余金の分配及び基金利息の支払調書作成事務
	不動産の使用料等の支払調書作成事務
	不動産等の譲受けの対価の支払調書作成事務
	その他の支払調書作成事務

第2章　安全管理措置総則

(組織体制)

第4条事務所は、所長を責任者とする。 2 事務取扱担当者は、社員とする。

(事務取扱担当者の監督)

第5条責任者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。

(運用状況の記録)

第6条事務取扱担当者は、以下の項目につき、システムログ及び利用実績を記録するものとする。

①特定個人情報の取得及び特定個人情報ファイルへの入力状況

②特定個人情報ファイルの利用・出力状況の記録

③書類・媒体等の持出しの記録

④特定個人情報ファイルの削除・廃棄記録

⑤削除・廃棄を委託した場合、これを証明する記録等

⑥特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

(教育・研修)

第7条責任者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに、1年間に1回以上、所定の研修を行うものとする。

(情報漏えい事案等への対応)

第8条責任者は、情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備するものとする。

2 責任者は、漏えい事案等が発生したと判断した場合は、その旨及び調査結果を所長に報告し、以下のとおり、対応を行うものとする。

①当事実関係の調査及び原因の究明

②影響を受ける可能性のある本人への連絡

③委員会及び主務大臣等への報告の検討

④再発防止策の検討及び決定

⑤事実関係及び再発防止策等の公表の検討

(取扱状況の確認並びに安全管理措置の見直し)

第9条責任者は、年1回以上、特定個人情報の取扱状況について監査を実施しなければならない。

2 責任者は、前項の監査の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。

第3章　特定個人情報を取得する段階得

(特定個人情報の取得時の利用目的の通知等)

第 10 条事務所は、特定個人情報を取得する場合は、原則として、取得の前に、その利用目的を書面、電子メール等で通知、又は事務所内で掲示、ホームページに掲載等により公表するものとする。

(社員等の対面で確認のみの取得等)

第 11 条事務所は、社員等の個人番号の取得については、事務取扱担当者が対面で以下の番号確認書類と身元確認書類を確認のみで取得するものとする。

①番号確認書類は、以下のアからウのうち、いずれか一つを確認する。

ア通知カード

イ個人番号付きの住民票の写し

ウ個人番号カードの番号確認書類(裏面)

②顔写真付き身分証明書による身元確認書類では、以下のアからオのうち、いずれか一つを確認する。

ア運転免許証

イパスポートウ個人番号カードの身元確認書類(表面)

エ在留カード

オ顔写真付き学生証

③顔写真無し身分証明書による身元確認書類では、以下のアからエのうち、いずれか二つを確認する。

ア健康保険証

イ年金手帳

ウ顔写真無し学生証

エ住民票の写し

２　平成 27 年 12 月 1 日以降に入社の社員等については、前項の規定に関わらず、入社時に書面で取得するものとする。

３　平成 27 年 12 月 1 日以降に入社のアルバイト・パートについては、第1項の規定に関わらず、入社時に書面で取得するものとする。

4 　事務所は、以下の個人番号の取得については、第1項の規定に関わらず、追跡可能な移送手段(配達記録等)の利用により取得するものとする。

①講演者、執筆者等の報酬等の支払先

②地主、家主等の不動産の使用料等の支払先

③株主等の配当等の支払先

(特定個人情報の利用目的)

第 12 条事務所が、社員又は第三者から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。

(本人確認)

第 13 条事務所は番号法第 16 条に定める各方法により、社員又は第三者の個人番号の確認及び当該本人の身元確認を行うものとする。

第4章　特定個人情報の利用を行う段階

(個人番号の利用制限)

第 14 条事務所は、第 12 条に定める利用目的の範囲内でのみ利用するものとする。
2 前項に関わらず、人の生命、身体又は財産の保護のために必要がある場合において、

本人の同意があり、又は本人の同意を得ることが困難であるときは、特定個人情報を提供することができるものとする。

第5章　特定個人情報を保管する段階

(クラウドサービス利用による保管)

第 15 条事務所は、第 11 条の方法により取得した個人番号はクラウドサービスを利用して、第三者のシステム内で保管し、原則として、会社内のシステムで保管しないものとする。

2 扶養等申告書、各種取得喪失届等の所管法令で定められた保管義務のある書類は、前項の規定に関わらず、紙ベースで保管するものとする。

(特定個人情報の保管制限)

第 16 条会社は、第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。

2 事務所は、所管法令等によって一定期間保存が義務付けられているものについて、これらの書類等に記載された個人番号については、その期間保管するものとする。

3 事務所は、個人番号関係事務を行うために必要がある当該書類だけでなく、責任者の許可がある場合は、システム内において特定個人情報ファイルも保管することができる。

4 事務所は、個人番号関係事務を行うために必要がある当該書類に付随する番号確認書類と身元確認書類の写しについても第2項の期間について、保管する。

(特定個人情報等を取り扱う区域の管理)

第 17 条事務所は、特定個人情報等の漏えいを防止するため管理区域及び取扱区域を明確にし、それぞれの区域に対し、以下の措置を講じる。

①管理区域

入退室管理及び管理区域へ持ち込む機器等の制限を行うものとする。

②取扱区域

壁又は間仕切り等の設置及び座席配置の工夫等をするものとする。

(機器及び電子媒体等の盗難等の防止)

第 18 条特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。

2 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。

(アクセス制御)

第 19 条特定個人情報へのアクセス制御は以下のとおりとする。

①個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

②特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。

③ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

(アクセス者の識別と認証)

第 20 条特定個人情報等を取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。

(外部からの不正アクセス等の防止)

第 21 条事務所は、以下のとおり、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。

①情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

②情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。

③導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。

④機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。

⑤ログ等の分析を定期的に行い、不正アクセス等を検知する。

(情報漏えい等の防止)

第 22 条事務所は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための以下の各号の措置を講ずるものとする。

①通信経路における情報漏えい等の防止策としては、通信経路の暗号化等をする。

②情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等をする。

第6章　特定個人情報の提供を行う段階

: (電子申請での提供)

第 23 条事務所は、行政機関等へ法定調書の提出等をする場合には、電子申請で個人番号を提出するものとする。

(特定個人情報の提供制限)

第 24 条事務所は、番号法第 19 条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供しないものとする。

(電子媒体等を持ち出す場合の漏えい等の防止)

第 25 条事務所は特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、以下のとおり、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずるものとする。

①特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等をする。

②特定個人情報等が記載された書類等を安全に持ち出す方法としては、封緘、目隠しシールの貼付を行う。

第7章　特定個人情報の削除・廃棄を行う段階

: (特定個人情報の削除・廃棄)

第 26 条事務所は、個人番号関係事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄するものとする。

(削除・廃棄段階における物理的安全管理措置)

第 27 条特定個人情報等の削除・廃棄段階における記録媒体等の管理は次のとおりとする。

①事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、溶解等の復元不可能な手段を用いるため、溶解等の専門業者に依頼し、溶解等の証明書を受領するものとする。

②事務取扱担当者は、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用するものとする。

③事務取扱担当者は、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用するものとする。

④特定個人情報等を取り扱う情報システムにおいては、所管法令等の法定保存期間経過後1年以内に個人番号の削除を前提とした情報システムを構築するものとする。

⑤個人番号が記載された書類等については、所管法令等の法定保存期間経過後1年以内に廃棄をするものとする。

2 事務取扱担当者は、特定個人情報等を削除又は廃棄した場合には、削除又は廃棄した記録を保存するものとする。

第8章　その他

(特定個人情報の開示、訂正等、利用停止等)

第 28 条事務所は、特定個人情報の開示、訂正等、利用停止等について、個人情報保護法に準拠して対応するものとする。

(特定個人情報の委託の取扱い)

第 29 条事務所は、個人番号関係事務又は個人番号利用事務の全部又は一部を委託する場合には、会社自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。

2 前項の委託をする場合には、設備、技術水準、社員に対する監督・教育の状況、経営環境状況等を調査して、委託先の適切な選定をするものとする。

3 第1項の必要かつ適切な監督を行うために、委託先に安全管理措置を遵守させるための必要な契約の締結をするものとし、その委託契約の内容として、以下の規定等を盛り込むものとする。

①秘密保持義務に関する規定

②事業所内からの特定個人情報の持出しの禁止

③特定個人情報の目的外利用の禁止

④再委託における条件

⑤漏えい事案等が発生した場合の委託先の責任に関する規定

⑥委託契約終了後の特定個人情報の返却又は廃棄に関する規定

⑦従業者に対する監督・教育に関する規定

⑧契約内容の遵守状況について報告を求める規定

⑨特定個人情報を取り扱う社員の明確化に関する規定

⑩委託者が委託先に対して実地の調査を行うことができる規定

(改廃)

第 30 条本規程の改廃は、代表が社員、関係機関との協議及び法令等の変更を踏まえ改廃する。

附則

本規程は平成 27 年 12 月 1 日から施行する。

MENU

1章 総則

第2章 安全管理措置総則

第3章 特定個人情報を取得する段階得

第4章 特定個人情報の利用を行う段階

第5章 特定個人情報を保管する段階

第6章 特定個人情報の提供を行う段階

第7章 特定個人情報の削除・廃棄を行う段階

第8章 その他