事業者がマイナンバーに関して構築すべき安全管理措置のレベルは、取り扱う個人情報数や従業員数に応じて、3段階あるといえます。具体的には、次のとおりです。
○個人情報数が5,000人以下で従業員数が100人以下である場合・・・レベル1(中小規模事業者)
○個人情報数が5,000人以下で従業員数が101人以上である場合・・・レベル2
○個人情報数が5,000人を超える場合・・・レベル3
個人情報保護法の適用対象外の事業者についても、番号法が適用されます。個人情報保護法の適用対象外の事業者というのは、個人情報データベース等を事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人以外)であって、個人情報データベース等を構成する個人情報により認識される特定の個人の数(個人情報保護法施行令で定める者以外)の合計が過去6カ月以内のいずれの日にも5,000を超えない者のことです。
平成27年2月16日 特定個人情報保護委員会事務局「特定個人情報の適正な取扱いに関するガイドラインの概要」を基に作成
また、委託によりマイナンバーを扱う税理士などは「中小規模事業者」から除かれます。また、個人情報取扱事業者(取り扱う個人情報数が5,000人を超える事業者)も同様です。
マイナンバー制度における中小規模事業者の特例(中小規模事業者における対応方法)について、個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、お
おむね次のように述べられています。
中小規模事業者は、事務で扱うマイナンバーの数量が少なく、特定個人情報等を扱う従業員が限られていること等により、特例的な対応方法を示すものである。
なお、中小規模事業者が、手法の例示に記された手法を採ることは、より好ましい対応である。
「中小規模事業者」というのは、事業者のうち従業員数が100人以下の事業者であって、次の事業者を除く事業者のことである。
○個人番号利用事務実施者
○個人情報取扱事業者
○金融分野(金融分野における個人情報保護に関するガイドライン第1条第1項に定義される金融分野)の事業者
○委託に基づき個人番号関係事務又は個人番号利用事務を業務として行う事業者
