取扱規程は、文書における安全管理措置の骨子です。
実際に安全管理措置を運用するにあたり、具体的な取扱いについての規定を文書化したものです。
これがあって初めて、体制として安全管理措置が行われていると評価されるといっても過言ではありません。
必ず作成しましょう。
もちろん、番号法ガイドラインにおいても、作成は義務であるとされています。
ただし、実際に作成する場合には、各部門での安全管理措置の下案が出来上がってから、文書化するという手順の方が、スムーズに進むことも多かろうと思います。
その辺りは各事業者・団体の規模や実情と合わせて判断していきましょう。
中小規模事業者における軽減措置
なお、取扱規程の作成について、中小規模事業者においては、軽減措置が認められています。
具体的な軽減措置については下部で説明しますが、取扱規程については、文書を作成する程度の作業であり、他よりはコストがかかりません。
また、軽減された措置においても、確実な引継ぎを行う必要があるため、マニュアル等の作成は必須でしょう。
それだけの労力を費やすのであれば、いっそのこと正規通り、取扱規程を作成してしまってもほとんどコストは変わらないでしょう。
そのため、私見では中小規模事業者であっても、取扱規程は作成すべきと考えます。
取扱規程の内容
番号法及びそのガイドラインによると、取扱規程においては、準備時点で明らかにした「3つの段階」の事務において、その流れを整理し、取得、利用、保存、提供、削除・廃棄の管理段階ごとに、責任者・取扱担当者及びその任務等について定めた上で、それぞれにおいて、組織的・人的・物理的・技術的安全管理措置を具体的に盛り込むことが例示されています。
ガイドラインに例示されたものの他に、各用語の定義についての記載や取扱規程の目的等も含めるのが一般的であるように思われます。
加えて、マイナンバー取扱事務の委託に関する事項も、ここで定めておくべきと思われます。
また、個人情報保護法の適用がある事業者・団体においては、番号法の他に個人情報保護法に基づいた取扱いを行う必要があります。
具体的には、本人が自らの特定個人情報について開示請求をした場合などです。
そうした場合に対応するために、開示請求についての条項を加える必要があるでしょう。
それらを踏まえて、弊所の見解に基づいて取扱規程を作成する際の章立てが、以下のようになります。
なお、取扱規程内において罰則を設けることはできません。
もし、懲戒事由としたいのであれば、就業規則の変更が必要となります。
ただし、取扱規程内の義務違反が服務規律違反に該当するような場合であれば、懲戒は可能であると考えられます。
とはいえ、事前に懲戒に該当する行為を類型化しておくという意味でも、就業規則の変更を行うべきでしょう。
その際は、労働基準法第89、90条に基づく手続きが必要です。
中小規模事業者における特例
中小規模事業者においては、取扱規程を作成する代わりに、以下のような軽減措置が認められています。
ここにいう「取扱い等を明確化する」というのは「取扱事務の明確化」「取扱事務の範囲で取扱われる特定個人情報等の明確化」「取扱責任者及び取扱担当者の明確化」のことだと思われます。
しかし、これらに加えて各安全管理措置を講じてそれを運用し、なおかつそれを確実に引き継ぐためには、マニュアル等の作成は欠かせなくなってくるでしょう。
そのため、取扱規程を作成することに代えて、軽減された措置を導入することのメリットは皆無であるように思われます。
行政書士やまのそうま法務事務所作成のサンプル
ただいま、一時的に公開を停止しております。
特定個人情報取扱規程等の実際の作成を含めた、安全管理措置構築のご相談は、お気軽にご連絡ください!
