会計コラム 公認会計士・税理士 横山 公一氏・第4回いまさら聞けない、改正個人情報保護法対応
〜 会社として「何をしなければならないのか?」「経理が留意すべき点は?」 〜
コラム執筆者:公認会計士・税理士 横山 公一氏 掲載日:2018年2月20日
昨年2017年、改正個人保護法が施行されました。
改正個人情報保護法により、これまで一定数の個人情報取扱事業者が規制の対象となっていたものが、取り扱う個人情報の下限(最近6か月間で5000の個人情報の取り扱いがあること)が撤廃され、実質的に「すべての事業を行う個人・法人」が対象となりました。特にマイナンバー情報を取り扱うことが義務となり、ニュースでも大きく取り上げられ、各所で対策セミナーが行われるなど、対応に追われているように思われます。
ところが、中小企業に関しては、対応が進んでいないところも多いようです。2017年3月時点のJIPDEC(一般財団法人 日本情報経済社会推進協会)の調査によると、中小企業の対応が完了しているところが約1割程度であり、「改正されるのは知っているが、内容についてまでは詳しく知らない」と回答していた企業が半数を超えていました。
施行からしばらく時間も経ちましたが、まだ対応されていない会社も多いと思われます。とはいえ、「結局何を気にしなければならないのか?」と、いまさら聞けない方も多いと思います。
そこで、今回のコラムでは、あらためて 1)改正個人情報保護法で、企業、特に中小企業が何をしなければならないのか、そして、2)経理部門が留意すべき点は何かについて述べたいと思います。
1)会社として何をしなければならないのか?
まずは個人情報保護委員会が出している、中小企業サポートページ※1に記載されている内容をチェックすることをお勧めします。まず、ここで提示されている「10のチェックポイント」を理解し、整理をするところから始めましょう。
| 分 類 | No | チェック項目 |
|---|---|---|
| 取得・利用 | 1 | 取り扱っている個人情報について、利用目的を決めていますか? |
| 2 | その利用目的は、本人に通知するか公表していますか? | 保 管 | 3 | (組織的安全管理措置) 個人情報の取扱いのルールや責任者を決めていますか? |
| 4 | (人的安全管理措置・従業者監督) 個人情報の取扱いについて従業員に教育を行っていますか? |
|
| 5 | (物理的安全管理措置) 個人情報が含まれる書類や電子媒体について、誰でも見られる場所・盗まれやすい場所に放置していませんか? |
|
| 6 | (技術的安全管理措置) パソコン等で個人情報を取り扱う場合、セキュリティ対策ソフトウェア等をインストールして最新の状態にしていますか? |
|
| 7 | 個人情報の取扱いを委託する場合、契約を締結する等、委託先に適切な管理を求めていますか? | |
| 提 供 | 8 | 本人以外に個人情報を提供する場合、本人に同意をとっていますか? |
| 9 | 本人以外に個人情報を提供したり、本人以外から個人情報を受け取る際、相手方や提供年月日等について記録を残していますか? | |
| 開 示 請求等 |
10 | 本人から自分の個人情報を見せてほしいと言われたり、訂正してほしいと言われた際には、対応していますか? |
特に、重要なのは
・会社のどの業務で、個人情報を取り扱うのか?(業務の洗い出し)
・当該業務で、必要となる個人情報・特定個人情報は何か?(取り扱う情報を明確にする)
・会社のなかで、誰が個人情報を取り扱うのか?(担当者の洗い出し)
という「業務と担当者、そして取り扱う情報が何か」ということを明確にすることです。逆に、そこさえ明確になれば、適切に業務として行うためのルールは見えてきます。
2)経理部門で留意すべきポイントは?
特に経理部門にて留意すべき点は、この10のチェックリストから、以下の通りとなります。
利用目的
経理部門に関しては、「税務関係」の業務で特定個人情報を取り扱うことになります。想定される業務は以下のような業務で、これらの書類に「個人番号」を記載するために、経理部門では特定個人情報を取り扱うことになっています。
・従業員・その扶養親族等: 源泉徴収票等の書面を提出する場面
・取引先:支払調書等を提出する場面
・株主・出資者等:配当等をして支払調書等を提出する場面
通知
これは従業員等の対象者から、個人番号を収集する際に、「何のためにこの情報を使うのか」ということを明確に説明する必要があります。税務上の目的であれば、当該目的を明確に口頭または書面等の手段を用いて説明することで足ります。
組織的安全管理措置
これは、経理部門で、上記業務にて個人情報を取り扱うルールを取り決め、担当者/責任者を明確にすることです。
人的安全管理措置
経理部門においても、新任の方がジョインした場合には、研修等より教育を行うことは必要です。
物理的安全管理措置
書面にて預かった場合には金庫等施錠できる場所に、電子データで保管する場合は、担当者/責任者のみ閲覧可能な状態で保管・管理されていることが必要です。現在は、データストレージや会計ソフトなどで個人情報を適切に保管・管理ができるソフトウエアやクラウドサービスもありますので、そういったITサービスを利用するというのも一つの方法です。
委託先管理
中小企業の場合、経理業務を外部の会計事務所に委託している場合も多いですが、委託先に個人情報を渡す際には、委託先への提供は法23条4項にあるように「第三者への提供」にはあたりません。そのため、個人情報の持ち主に情報を提供することに関して同意を得る必要はなく、記録を取る必要もありません。ただし、委託をする際には、「個人情報保護方針」中に、1)委託先を適切に選定をおこなうこと、並びに2)委託先に対して適切な監督を行うこと(法22条) を記載するなど、委託業務について公表または情報提供者に対して通知をする必要があります。
以上、会社として、また経理業務の中で留意すべき点を挙げましたが、適切な対応と準備さえしておけば、特段難しいことを要求されているわけではなく、上記で紹介した「中小企業サポートページ」の内容を参考にしながら自社での対応も可能だと思います。もし不安があるようであれば、顧問の税理士・会計士の先生方に相談することをお勧めします。
<出典元>
※1個人情報保護委員会:中小企業サポートページ
https://www.ppc.go.jp/personal/chusho_support/
※2はじめての個人情報保護法 〜シンプルレッスン〜 P.11 より抜粋
https://www.ppc.go.jp/files/pdf/1711_simple_lesson.pdf
執筆者プロフィール
横山 公一氏公認会計士・税理士
ペーパーロジック株式会社 代表取締役社長 兼 CEO
1991年監査法人トーマツに入所し、監査業務、株式公開支援業務、関与先の流動化・証券化の会計税務等を担当。1999年に金融特化型会計事務所を創業し、代表パートナーとして同社を取扱いファンド数1500、管理金額4兆円まで成長させ、特化型会計事務所としては国内最大手にまで成長させる。ファンド管理のスペシャリスト。現在は国策・規制緩和分野である電子化・ペーパーレス化のフィンテック分野に会計・税務・法律の知見、ネットワークを投入し、我が国の生産性向上に資するため邁進。
