マイナンバー管理とは|企業における適切な管理方法や法律・必要書類

マイナンバー制度の開始により、企業でも従来の社員名簿などとは異なる「特定個人情報保護」の管理を徹底することが義務づけられました。目的としては、取得・管理するリスクの高いマイナンバーを安心して取扱うことができるようにするためです。

そもそもマイナンバーってどんな制度なのか、取り扱いでは何に気を付けるべきなのか曖昧になっている部分はありませんか?

トラブルが起こってからでは遅いので、企業の持つ責任としてマイナンバーの管理とそれに伴うリスクについても熟知しましょう。

本記事では、上記を踏まえマイナンバーをどのように管理するべきなのかご紹介します。

1、マイナンバーとは

2016年1月よりマイナンバー法が施行されました。

マイナンバーは国から国民全員に付与されている12桁の番号のことです。

マイナンバーには個人の社会保障、祖税、災害対策などに関する情報がまとめられています。

これにより、各種手続きがスムーズになり、不正行為を防ぎやすくなるといわれています。

2、企業はマイナンバーをしっかり管理しなければならない

従業員を雇用すると社会保険や税金関連の手続きが必要となります。

そして、現在ではこれらすべてにマイナンバーが必要となっています。

例えば、入退社手続きでマイナンバーの記載が必要なものは以下です。

▼入退社手続きでマイナンバーの記載が必要なもの

・健康保険
・厚生年金保険資格取得・喪失届
・雇用保険資格取得・喪失届
・健康保険被扶養者届
・健康保険扶養者届
・国民年金第3号被保険者関係届
・扶養控除等申告書
・住民税の特別徴収にかかる給与所得者異動届出書
・退職所得の受給に関する申告書  など

このように、マイナンバーはとても重要な個人情報の一つです。企業には法令で定められたことを踏まえ、適切な管理方法が求められています。

従業員の他にそれに付随する扶養者のマイナンバーも必要となりますので、企業では従業員数以上のマイナンバーを管理をしなければなりません。

3、企業のマイナンバー管理方法

マイナンバーの管理方法には、大きく分けて「収集」「利用・管理」「廃棄」の3つのポイントがあります。

3-1. 収集

マイナンバーは個人から提供を受けてよい場面でのみ収集が可能です。

たとえば、派遣社員の場合は社会保険や税金関連を派遣元が管理していますので、派遣先の企業は収集できません。つまり企業が直接、従業員を雇用し、各所への手続きが必要な際に収集ができます。

特に新入社員の手続きで「通知カード」や「住民票」などで番号を収集する場合は、人違いや虚偽の申告が無いよう運転免許証やパスポートなど顔写真付きの証明書等で本人確認もおこないます。ただし、扶養家族の本人確認は従業員によっておこなわれていますので、提出先の会社側が再度する必要はありません。

提出を求める際は、きちんと利用目的を文書などで明示した上で収集しましょう。重要な個人情報の扱いに関するトラブルを未然に防ぐことができます。

3-2. 利用・管理

まず、企業によるマイナンバーの利用は行政機関への手続きのみに限定されています。これは法律で定められている事項です。したがって、社員番号として利用するなどその他の用途は認められていません。

また、複数のグループ会社を持つ企業では親会社が一括して社員情報を管理している場合もあります。しかし、グループ会社間でも別法人となるとマイナンバーの共有はできません。さらに、出向・転籍の場合も企業間のやり取りは禁止されており、必ず本人から提供しなければなりません。

次に、管理方法で注意すべきことは、マイナンバーの実質的な保管期間は事業者に委ねているということです。通常は、税・社会保障に関する書類には法定の保管期間が義務付けられています。一方、マイナンバーの場合は、カード自体に有効期間があるものの不変の番号となっていますので、企業側が事務手続き上、必要な限り保管し続けることができるということです。

3-3. 廃棄

上記のとおり廃棄までの明確な期間は定められていませんが、行政上の手続きの必要がなくなったら、速やかに廃棄しなければなりません。該当社員のマイナンバーが記載された書類はすべて廃棄の対象となります。

毎月の退職者が多い企業などでは、不要なマイナンバーが残らないよう一定の時期を決めて廃棄しましょう。決して復元できないようにすることがポイントです。

4 、マイナンバー管理対策

マイナンバーの取り扱いに関するガイドラインでは、必要かつ適切な安全管理措置をおこなうために

基本方針の策定」、「取扱規程等の策定

という2つのルールづくりと、

組織的安全管理措置」、「人的安全措置」、「物理的な安全管理措置」、「技術的安全管理措置

の4種類の対策を講じることを求めています。

まず、基本方針の策定は任意となります。ただ、「情報漏えい」などリスクの高いトラブルを防ぐためにも、基本方針を明確にしておくことで実務担当者も安心して業務に当たることが出来ます。

一方、取扱規程は従業員数100人以上の事業者においては策定が義務となっています。実務作業のマニュアルに近いもので、取り扱いのフローを明文化する目的があります。

取扱規程の具体的な内容として、下記の4つの対策を盛り込むことが必要です。

4-1. 組織的安全管理措置

マイナンバーを取り扱う組織体制の整備・運用、取り扱い状況を確認する手段の整備、情報漏えいなどトラブル対応の整備、取り扱い状況の把握および安全管理措置の見直しの方法を定めます。

4-2. 人的安全管理措置

実務担当者に対して適切な研修をおこない、機密保持を遵守することを定めます。

機密保持の内容は、担当中または担当を外れたいかなる場合にも、業務中に知りえたマイナンバーなどの特定個人情報を利用目的以外に使用せず、秘密保持を全うすることです。

担当者が情報保護の意識を高め、万一違反した場合には、法的な責任が生じることを十分に理解できるような仕組みを作りましょう。

4-3. 物理的安全管理措置

マイナンバーに関する様々なリスクの物理的な対策について定めます。

ここでは、アクセス制御がメインです。例えば、マイナンバーに触れられる人物を限定する、関連書籍をカギ付きで保管するなどです。さらに、マイナンバーを扱うPCを限定し、ワイヤーで固定しておくという方法もあります。

クラウド上などで管理している場合は、アクセス者の識別と認証を必ずおこない、誰がいつマイナンバー情報にアクセスしたかログを残し、セキュリティ強化を図る方法もあります。

4-4. 技術的安全管理措置

物理的安全措置が人の手による情報漏えいのリスク対策だとすると、技術的安全措置はオンライン上での不正アクセスによる漏えいを防ぐための対策です。

ウィルス対策ソフトの導入・見直しやセキュリティの高い社内システムの構築といったように、情報システム部門などと連携して策を講じることが必要です。

5、マイナンバーを管理する上で苦労する点

5-1. 保管スペースがない

増え続ける書類に対しては、「電子化」が得策です。

金銭面では物理的なスペースの経費を削ることができます。効率化の面では新しいスペースを有効活用することが可能です。

また、マイナンバーをクラウド上などで電子化すれば、検索・閲覧・共有などの管理が非常に楽になります。

セキュリティの面でも、置き忘れ、不適切な廃棄などヒューマンエラーによる漏えいを防ぎやすくなります。

5-2. アクセス制御

技術的安全管理措置の内容になりますが、特にマイナンバーを取り扱う部門が人事部、経理部、総務部など複数ある場合はそれぞれの利用場面を明確にし、それ以外の用途ではアクセスしないというルールを設ける必要があります。

紙媒体で管理している場合は、保管場所の解錠は一人の管理者がおこない、氏名・日時・用途などの項目を徹底的に記録するという方法もあります。システム上であれば、アクセス権限を細分化して無駄なアクセスがされない環境を作りましょう。

5-3. 廃棄をどうしたらよいのか

不要となったマイナンバー関連書類は決して復元できないようにしなければなりません。

例えば、紙媒体の場合はシュレッダーにかける、焼却する、溶解処分などです。電子ファイルの場合は物理的に破壊する、データ削除専用ソフトによる消去などが挙げられます。

6、最後に

企業でのマイナンバー管理方法はお分かりいただけたでしょうか。

マイナンバーについては施行以前から国民のプライバシーの侵害、過去の住基ネットの失敗など様々な議論がなされています。そもそも新しい制度自体に抵抗を示す人は少なくないでしょう。

しかし、捜査の難易度が高いIT犯罪、多発する行政手続き上のミスや遅延を防ぐためにも顔写真・ICチップ付きのマイナンバーカードは確実な本人特定のツールとして今後必要となります。

企業をはじめ多くの場面で導入コストはありますが、マイナンバーにはこれからの伸びしろがあります。例えば、自治体クラウドを活用した行政サービス改革や地域活性化、子育て支援などにも利用されていく見込みです。行政と民間のどちらにも利益があるような仕組みや戦略が期待できます。

このように将来的にマイナンバーが適切な形で利用されるためにも、企業の担当者レベルで管理方法を徹底し、運用していくことがとても重要です。

公式アカウントをフォローして毎日記事をチェック!