情報セキュリティ対策とマイナンバー

外部侵入対策より自社内対策

会社の重要情報を情報システムで管理している事業者様は、営業機密個人情報の漏えいに多大な神経を使っていることと思います。これは、情報漏えいによる営業上の損失、漏えいさせてしまったことによる社会的な信用失墜、顧客等への損害賠償など、その影響は計り知れないものとなることが、他社での漏えいインシデントで明らかだからだと思います。
昨今、他国からのサイバー攻撃など情報システムへの悪意ある侵入に関する報道が多く聞かれますが、企業レベルで第一に考えることは、これら外部からの侵入より、悪意のあるなしにかかわらず、自社内の関係者からの漏えいを如何に防ぐかだと思います。メールの添付ファイルをみだりに開かないなどの対策も重要ですが、情報セキュリティ対策の要諦は、自社内からの漏えい対策と考えて差し支えありません。

情報管理体制

マイナンバー法」では、昨今の情報漏えい対策の重要性を踏まえ情報管理の不備に関する罰則が強化されているため、マイナンバーを管理しなければならないすべての企業で、マイナンバーそのものが、「なにやらやっかいなこと」としてとらえられているのではないでしょうか。マイナンバーの管理に関する情報管理の重要性が各所で述べられていて、それはその通りなのですが、これまで何らかの形で構築してきた情報管理体制と、マイナンバーで求められるものが全く別物であるわけではありません。情報管理に取り組む最重要事項は、情報管理組織の責任者自社の重要情報は何かを明確化することです。このことが明確化されれば、次にすべきことがおのずとわかってきます。

自社内セキュリティ対策

上に述べた通り、情報セキュリティ対策は、外部からの悪意ある侵入対策以上に、自社内からの情報漏えいについての対策が重要になります。このためには、情報システムに対策を施すというより、社員の心がけや、情報を扱うルールが重要となるため、業務の効率が多少下がるとしても、面倒でアナログなルール作りや日頃の情報セキュリティ教育が欠かせないことになります。「業務効率が多少下がっても良い」という価値観が、起こるかもしれない膨大な損失のリスク対策になっているとして、これは是非とも推進しなければなりません。
ここで改めて言うまでもなく、このような地道な対策が、「マイナンバー法」でも求められていることに変わりはないのです。

情報の物理的管理

「マイナンバー法」でも求められている情報(個人番号を含む特定個人情報)の物理的管理について触れておきたいと思います。特定個人情報が自社の重要情報に含まれることは自明なので、この情報を漏えいさせないためにとるべき施策として、以下を決定します。
1.特定個人情報を取り扱う組織の決定
2.その組織内の取扱責任者並びに取扱担当者の任命
3.特定個人情報を扱う「取扱区域」の決定
4.特定個人情報ファイル(紙ファイル、電子ファイル)を保管する「管理区域」の決定
そして、「取扱区域」と「管理区域」にアクセスしづらい仕掛けとしての施錠管理が必要になります。「区域」というとある程度の広さの物理的空間をイメージしますが、鍵付きキャビネット一つを「管理区域」としても差し支えありません。そしてくれぐれも、特定個人情報及びこの区域に携わる「人間」の意識を教育することが重要です。

マイナンバーへの準備(5)

マイナンバーの郵送は本日から

10月5日から自治体により、各人への「通知カード」が郵送されます。通知カード(イメージ)

これまでの行政による説明は「行政の効率化」(メリット)ばかりが前面に出ていて、各人あるいは事業者には、マイナンバー制での個人情報の漏えい対策を求めるものばかりでした。たしかに平成28年1月からの施行範囲は、社会保障、税、災害対策に限定したものであるため、個人の生活や企業運営にマイナンバーをキーとした各種サービスの連携をイメージできていません。現時点でもマイナンバーに対する国民の理解度が低いため、マイナンバーを国民に理解させるための補正予算が組まれるという話が出ていますが、言うべきことは行政の効率化ではなく、個人や事業者がマイナンバーに対してどのような情報を求めているか、そのことによる将来像も含めたメリットは何なのかの琴線に触れる情報を発信してもらいたいものです。社会保険労務士としては、まだ決まっていない将来像まで軽々に述べるわけにはゆきませんが、当面の取組み、その他行政が発信する情報をこのような場で、企業様に発信し続けたいと思います。

個人番号の収集

事業者における「基本方針」並びに「取扱規程」等の策定や「事務取扱担当者」の決定といった、最初に取り組まなければならない重要事項はあるものの、今回は、個人あてに通知された「通知カード」の「個人番号」を、事業者がその利用目的を明示して収集(取得)する際に注意しなければならない点を改めて見てみましょう。この個人番号収集時の注意事項にフォーカスするため、「個人番号の収集」までに事業者が従業員にしなくてはならない手順(収集の予告、説明会の開催、利用目的の明示等)も省略します。

本人および配偶者の個人番号

10月5日現在の住民票の住所地に届く通知カードに記載された個人番号を、事業者からあらかじめ配布された個人番号届出書(事業者により言い方は異なります)に記載して提出してもらいます。この際、従業員(パートタイマー等を含む 以下同じ)の本人確認は、通常は入社時等のタイミングで身元確認を実施済みと考えられることから、このタイミングでの「身元(実存)確認」を不要とすることが可能とされています(提出された個人番号が、本人の個人番号であることは確認が必要です)。従業員に配偶者(いわゆる国民年金の第3号被保険者に当たる方 以下同じ)がいる場合の配偶者の個人番号の収集には、注意が必要です。配偶者の個人番号は、配偶者本人が事業主に対して届出を行う必要があるからで、事業者が従業員の配偶者から直接個人番号を収集するか、従業員を事業者の代理人とする場合は、代理人とする旨の、従業員の配偶者による自筆の委任が必要になります。従業員を代理人とすることができれば、配偶者による自筆のマイナンバーを従業員から収集できます。

扶養親族の個人番号

従業員の(配偶者を除く)扶養親族の個人番号も事業者は収集することになります。この場合は、従業員が、扶養親族の番号確認と身元(実存)確認を行うこととされているので、事業者がこれらを行う必要はありません。従業員にあらかじめその旨を説明し、従業員が扶養親族の個人番号と身元確認を行い、それぞれの個人番号を提出することになります。

株主、地主、有識者等の個人番号

平成28年1月以降の、株主、地主、有識者等への支払いに関して、事業者は個人番号の収集が必要になります。有識者等とは、社員研修等での外部講師、税務関係事務等を委託する税理士、社会保険・労働保険関係等の事務を委託する社会保険労務士等がこれに当たります。この際も、個人番号の利用目的の明示と個人番号が本人のものであることおよび本人確認が必要になります。事業主は、契約期間の満了などにより、これらの個人番号が、支払調書の作成事務に必要がなくなったときは、速やかに、廃棄又は削除する必要があります。

マイナンバーへの準備(4)

これから準備、あるいは準備中の企業様

マイナンバーの自社内への適用準備がまだであったり、準備中でなかなか進まない企業様には、前回お伝えした通り、10月から「通知カード」が郵送され始めるからと言って拙速な取り組みで将来に禍根を残すことなく、この時点でスケジュールを引き直すくらいの気持ちで全体の雰囲気に流されないことが重要です。
マイナンバーの準備は、最初の取り組みとして、今後自社のマイナンバー事務を担当する部署、責任者、担当者を決めましょう。責任者が担当者を兼任してもかまいません。企業規模によっては担当者を複数人にできるのであれば、そうしたほうが良いでしょう。事務担当者(個人番号関係事務実施者)は、「個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者」のことで、自社内の個人番号関係の事務を扱える唯一の人です。「個人番号関係事務の全部又は一部の委託を受けた者」とは、社会保険労務士など外部の専門家に事務を委託する場合のことを言っています。この段階で重要なことは、マイナンバーを担当する部署や担当者に「マイナンバー」を丸投げするのではなく、社長が認知した「全社的対策チームの立ち上げ」であるという認識です。

担当者への教育と従業員への通知

このあと、立ち上げ時に何をするか改めて見てみましょう。
自社の事務担当者が決まったら、その方に「マイナンバー」の事務とは「何をするのか、何をしてはいけないのか」を教育して下さい。いわゆる「番号法」や「ガイドライン(特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に書いてあることがそれに当たります。
これまで、「個人情報保護法」に係った方が、マイナンバーの事務担当者になられた場合、個人情報保護法では本人の同意があれば、別の用途に個人情報を利用することができましたが、マイナンバー制度での「個人番号」は、たとえ本人の同意があっても、社会保障および税の事務(及び災害対策に関する事務)以外で個人番号を利用することはできないので注意が必要です。
つぎに「従業員への通知」は、なるべく早く行いましょう。従業員及びその家族一人ひとりがもつ個人番号を何らかの形で収集(取得)しなければ、事務担当者が必要な事務を行えません。そのために従業員へ、本人及び家族の個人番号を会社に届け出ることを、その利用目的を明記してお願いする必要があります。この通知により従業員は、10月以降各自への通知カードに記載された個人番号(本人と家族全員のもの)を会社に届け出ることになります。実際には、この収集(取得)だけでかなり時間がかかるのではないでしょうか。全従業員(及びその家族)から個人番号の届け出を、迅速に漏れなくしてもらうことが「全社的対策チーム」の役割です(この部分を事務担当者に丸投げしないことが重要です)。

「マイナンバー」事務は、従業員を一人でも雇用していれば必須

多くの企業様では、厚生労働省が示すスケジュールに沿って「マイナンバー」の準備が進んでいない現状を前回のコラムで書きました。だからといって、従業員を一人でも雇用していれば、何もしないでいられるわけではないので、いまからでも、これからでも上記の取り組みから進めていただければと思います。
なお、上の記述は、人体に例えれば背骨の付け根に当たる部分で、なくてはならないものですが、その周りの肉や血液に相当する部分、あるいは立ち上げ以降の準備については個別に相談していただければ、各社を集めたマイナンバーのセミナー等では得られない個別の対応策をお示しできると思います。
社内セミナーのご要望を含め、当サイトの「ご相談フォーム」でお気軽にお寄せ下さい。

マイナンバーへの準備(3)

ちぐはぐな行政の対応

マイナンバーの「通知カード」が10月5日から住民票の住所に郵送されます。「通知カード」に書かれた12桁の個人番号は、住所、氏名、性別、生年月日と結び付くことで「特定個人情報」となり、いわゆる「番号法」で定められた漏えいに関する厳密な管理が必要とされます。したがって個人も企業も少なからずその扱いに敏感にならざるを得ないと感じているのに、消費税を10%へ引き揚げる際、食料品など生活必需品の税率を低く抑える「軽減税率」に代わって「還付金制度」にするという案が財務省から提案され、その還付金額を確認するためのツールとしてマイナンバーを利用するというものでした。すでに、批判が出ている通り、これでは、一方でマイナンバーの厳密な管理を求めながら、日常の買い物時にマイナンバーが書かれた「個人番号カード」を持ち歩くことが求められるという、ちぐはぐなことになってしまいます。

個人番号の取得

マイナンバーへの準備として、財務省的机上の空論に惑わされることなく、これまで通りしっかりとした仕掛けづくりと運用を心掛けたいものです。
労働・社会保険関連で今年(平成27年)の末から、来年1月にかけてマイナンバーの記入(すなわち個人番号の取得)が必要とされる書類として「扶養控除等(異動)申告書」があります。また、「扶養控除等(異動)申告書」は、新年最初の給与支給日の前日までの提出書類ですので、そこから逆算して従業員に対する「マイナンバー制度の説明」、「利用目的の通知」、「マイナンバー取得への協力依頼」、「取扱いに関する同意書」や「誓約書」の収集などを滞りなく終えなければなりません。

拙速を避ける賢明な判断

このほかに、企業規模にもよりますが、各種安全管理措置を盛り込んだ「取扱規程」の策定も求められます。
先ごろの「マイナンバーへの準備」に関する調査結果では、中小企業の5割がまだ、具体的な動きをしていないとの結果も出ています。行政のちぐはぐな対応と、中小企業の取り組みの現状を見たとき、これまでのように「早急な準備を」とはやし立てることに疑問を感じます。
ここは、対応が不十分という企業は、時間に間に合わせるための拙速な対応策ではなく、各企業が自社の実情に沿ったタイムテーブルを引き直し、腰を据えて掛かるというほうが、賢明な判断ではないでしょうか。
マイナンバーに関する従業員への説明、社内関係者への説明等まだの企業様、あるいは、「行ったがまだ不安だ」という企業様は、お気軽に当事務所にご相談ください。

非正規社員の戦力化

取り巻く環境を踏まえた賢い選択

経済の低迷や少子高齢化のみならず、総人口の減少という事象は、かつてない経営環境の変化です。
一朝一夕にかつての経済的繁栄やピラミッド型人口構成に戻せない以上、経営の長期安定策の一つとして、雇用者の約4割を占めるに至った非正規労働者を今後どう処遇するかの経営判断が重要となります。
非正規雇用は、人件費削減や業務の多寡による人員の調整弁として誕生し、経営側にとっての短期的処方としての雇用形態であったはずが、雇用者の約4割を占めるに至るとなると、さすがに厚労省の重要対策課題の一つとして、労働契約法や労働者派遣法の改定が目白押しに進められています。
非正規労働者を人件費削減や労働力の調整弁として使い捨てにするのではなく、戦力として評価し活用することを考え、実践すれば、正規社員6割の力だけで業績を伸ばそうとしている企業に勝ることは明白です。

非正規社員を評価し活用する

以前、職務限定正社員(限定正社員)の活用をこのコラムで述べました。今回は、視点を広げ非正規労働者の契約形態の変更と、変更後の育成について考えます。上にも述べた経営環境の変化とそれに伴う法改正の波を踏まえ、人件費削減や労働力の調整弁としての非正規労働者という考えではなく、今後は正規労働者同様の戦力として活用する方策が必要です。
労働契約法や労働者派遣法では、非正規労働者の就業期間や就業形態がある条件を満たした場合、それまでと同様の労働契約条件での無期雇用契約への転換を義務付け、さらに無期雇用契約での多様な労働形態として短時間正社員(限定正社員)の選択肢も設けています。しかし、正社員化を望む非正規社員にとってこのような改正は望ましい前進であるとしても、契約形態を変更しさえすれば、労使の関係がWinWinになるというほど甘くはありません。

正社員化した労働者を戦力化する

経営側とすれば、無期雇用契約化や正社員化した労働者並びに、非正規社員として引き続き雇用する労働者も自社の戦力として活躍してもらうために、今一歩踏み込み、Off-JTを含む能力開発計画にこれらの労働者も組み入れ、企業とともに歩むマインドを持った人材を育成をすることで、勝ち残れる長期安定企業化への道標が見いだせるのではないでしょうか(キャリアアップ助成金の、正規雇用等転換コース、多様な正社員コース、人材育成コースについては、このコラムの「キャリアアップ助成金の提案」を参照ください)。

競業避止義務規程

競業避止と憲法22条(職業選択の自由)

多くの企業の就業規則や個別規程で、在職中の営業秘密の漏えい防止や退職後の同業他社への就職の禁止を述べていますが、退職後の就職先については、憲法22条との兼ね合いで見た場合、御社の規程は、意味のない(公の場に出たら勝ち目のない)記述になっていないでしょうか。

漠然とした競業避止義務規程では、かえって降りかかる代償が大きくなります

退職する者にそれまでに知り得た自社の営業ノウハウ開発ノウハウを漏らしてほしくない、まして同業他社に対してはなおさらという会社の想いは当然のことですが、だからといって無定見に再就職先を制限することは、かえって会社に降りかかる代償が大きなものになります。
憲法22条の趣旨を侵すことなく会社の利益を保護するには、規程上の記述に十分配慮する必要があるのです。そこには少なくとも、自社だけが持つ知的財産ともいうべき特殊な知識を漏らさないことを限定的、具体的に規定しなければなりません。

競業避止義務規程に入れる内容

限定的、具体的に規定するには、何を考慮すべきでしょうか。
これは、通常考えられる事項として、時間制限(競業避止の期間)、空間制限(再就職先の場所)、制限範囲(制限する職種)といった事になると思いますが、一般論で私見を述べても説得力がないので、過去の判例を見てみる必要があります。
いくつかの判例によると、競業避止義務の
①必要性(守るべき必然性)
②期間
③地域
④対象職位
⑤背信性(行為の悪意性)
⑥代償措置(競業避止義務を果たすに足る在職中の待遇)
が、規定されている場合、その合理性が認められています。
上記6項目が競業避止義務規程に盛り込まれているか、見直してみてはいかがでしょうか。

限定正社員の活用を

1.限定正社員

いわゆる正社員非正規社員の中間の社員としての「限定正社員」をアベノミクスの成長戦略の一つとして普及・推進しようとしています。職務を限定、勤務地を限定、勤務時間を限定、これらを組み合わせる働き方の社員を「限定正社員」と言います。

2.労働契約法18条関連の限定正社員のメリット

多くの論調で、企業側、労働者側からの限定正社員のメリット、デメリットが展開されていますので、ここでは論旨をしぼって、平成25年4月に規定された労働契約法(労契法)18条の受け皿としての限定正社員のメリットについて述べます。実は限定正社員制度を導入することによって発生する就業規則賃金規程の変更や人事・労務管理の多様化を補って余りある企業側のメリットは、ここにしかないと思うからです。また、労働者にとっても労契法18条の恩恵を躊躇なく受けるには、労働条件を「限定」できるほうが良いのではないでしょうか。

3.職務限定正社員

労契法18条による労使双方のメリットが得られる限定正社員が、「職務限定正社員」です。非正規社員で、再契約を繰り返す場合は、その職種の専門性を活かした、いわゆる職種限定の働き方をしているので、労契法18条による権利の行使で正社員になるとき、職務限定正社員になることに労使とも抵抗はないと思われます。

4.限定正社員の活用

労契法18条に基づき無期労働契約に転換する従業員の発生は、平成31年4月以降です。その時に、無限定な正社員を受け入れざるを得ないことのないよう、いまから限定正社員について知り、労使双方のメリットが活かせる「職務限定正社員」を取り入れる就業規則の変更をお勧めします。

時間管理規程の重要性

1.時間外勤務等の実態

労働時間とは、労働者が使用者の明示または黙示の指揮命令ないし指揮監督のもとにおかれている時間です。したがって、もちろん所定外労働も使用者(上司)の指揮命令ないし指揮監督のもとに行われなければなりません。しかしながら多くの時間外勤務や休日出勤等は、「黙示」の指揮命令として行われているのではないでしょうか。

2.勤怠管理システム

もはや古典的勤怠管理方法である「タイムカード」による出退勤時刻の打刻については、PCでのパスワード打刻、指紋指静脈による本人認証、事務所に立ち寄らない時の携帯・スマホによるGPS連携などの方法が採用されつつあります。

3.労働時間の把握

新しい勤怠管理システムの導入で、1分単位の労働時間の把握を命じた労基署の是正勧告について、他人による不正打刻が可能なタイムカードの危うさを除去できることにはなるのですが、勤怠管理システムが示す勤務時間もやはり出退勤時刻の記録でしかないので、所定外労働が妥当だったのかの判断はできません。過去の、タイムカードによる勤怠管理事例で、「タイムカード以上に正確な労働時間の把握をしていたと認める証拠がない以上、所定外労働は、割増賃金の対象」という判例があります。この判例の考え方は、タイムカードに代わる勤怠管理システムを導入しても変わらないものです。

4.労働時間管理規程で明示しましょう

つまり、今まで通り「黙示」の指揮命令で社員に時間管理を任せていると、無意味な所定外労働が相変わらず続くということになりかねません。対策は、勤怠管理のシステムを変えることではなく、「労働時間」の本質に立ち返って、社員の労働時間管理規程を明確化することなのではないでしょうか。すなわち、社員の所定外労働は、すべて使用者(上司)による明示的指示か、または労働者からの申請によるときのみに有効となることを規定し、事前に社員に周知することです。このことにより、所定外労働に関する未払いなどの訴訟リスクは、激減します。使用者(上司)が毎回、すべて社員の申請に目を通し、決済するのは時間的に現実的ではないというのは、管理者としての責務を放棄しているにほかなりません。

マイナンバーへの準備(2)

平成28年1月1日以降適用される「マイナンバー」で企業に求められている基本的なアクションをまとめると以下のとおりです。

  1. マイナンバーの理解

    ①適切・正確な個人番号の把握
    ②従業員やその扶養家族(従業員等という)が自身の個人番号を確実に知ること
    (個人番号は、「通知カード」に記入され、平成27年10月1日から本人の居住地に郵送されま す)
    ③会社が従業員等の本人確認を適切に行うこと
    ④会社が従業員等の個人番号を正確に記録すること

  2. 適法・的確な利用

    ①番号法の範囲内で使用し、目的以外には使用しないこと
    ②諸届の際、管理を厳密に行い、漏えいさせないこと

  3. 適法・厳密な管理

    ①管理方法を決め、管理を厳密に行い漏えいさせないこと
    ②法律で定められた期間保管し、漏えいさせないこと
    ③保管期間を過ぎた個人情報を必ず廃棄し、その記録を残すこと

労働契約申込みみなし制度(平成27年10月1日施行)

平成24年の派遣法改正で決まった同制度の猶予期間が終わり、平成27年10月1日から施行されます。

施行後は、以下の違法派遣を知っていて派遣受け入れを続けると、その時点で、派遣先企業が派遣労働者に対して直接雇用の申し込みをしたとみなされることになります。
したがって、派遣労働者が承諾すれば、その労働者を直接雇用しなければならないという法律です。

  • 違法派遣とは:
    1.派遣禁止業務(*)に従事させた
    2.無許可・無届の派遣会社から派遣を受け入れた
    3.派遣受入可能期間を超えて派遣を受け入れた
    4.偽装請負に該当する
    *派遣禁止業務とは、
    1.港湾運送業務
    2.建設業務
    3.警備業務
    4.医療関係業務
    5.いわゆる士業
    など

一方、7月27日現在、参議院で審議中の派遣法改正案では、これまで「専門26業務」としていた業務が廃止されます。
この現在審議中の法案が10月1日までに成立しないと、「専門26業務」が残ったまま、労働契約申込みみなし制度が施行されてしまうので、違法派遣と知りつつ受け入れてきた企業では、専門26業務については、期限のない直接雇用の申し込みをしたことになります。