これだけは押さえたい！中小企業のマイナンバー制度対策

マイナンバーの事務担当者の仕事は、従業員からマイナンバーを聞き、データにまとめ、税務署やハローワーク、健康保険組合、年金事務所などに対して、各手続き時に必要な番号を報告することです。
管理者は、集めたマイナンバー情報を管理監督する役目になります。

中小企業でいえば、事務担当者は経理、管理監督者は社長になるでしょう。
社長が経理も兼任している場合はその両方を担うことになりますが、中小企業向けマイナンバーガイドラインでは、責任者と事務担当者は区分して管理するのが望ましいとされています。

マイナンバーを従業員から提供してもらうためには、まず、事前に利用目的をはっきりと示さなければいけません。これは個人情報保護法の第18条に規定されているルールですので、企業は遵守する必要があります。

マイナンバーを収集する必要がある対象者

従業員（役員・パート・アルバイトを含む）とその扶養家族
※派遣社員の場合は、派遣元が全ての手続きを行うので、取得する必要はありません。
地主・大家（個人賃貸業者）
弁護士・税理士・社労士等の報酬支払先
外部の報酬支払先（講師謝礼や出演料等）
配当を支払う株主

マイナンバーの提供を拒否されたときには、法令で定まった義務であることを理解いただく。それでも、提出されないときは提出先の機関の指示に従うこととされている。

法定調書作成などに際し、個人番号の提供を受けられない場合でも、安易に個人番号を記載しないで書類を提出せず、個人番号の記載は、法律（国税通則法、所得税法等）で定められた義務であることを伝え、提供を求めてください。

それでもなお、提供を受けられない場合は、提供を求めた経過等を記録、保存するなどし、単なる義務違反でないことを明確にしておいてください。

経過等の記録がなければ、個人番号の提供を受けていないのか、あるいは提供を受けたのに紛失したのかが判別できません。特定個人情報保護の観点からも、経過等の記録をお願いします。

なお、法定調書などの記載対象となっている方全てが個人番号をお持ちとは限らず、そのような場合は個人番号を記載することはできませんので、個人番号の記載がないことをもって、税務署が書類を受理しないということはありません。

アクセスコントロール――原則は従来のアクセス許可者（権限者）とは全く異なる許可者を策定すべき。許可者が重複すると、情報が流出したり、流出時に致命的な状況をもたらしたりする恐れがある。従来の個人情報とマイナンバーが一緒に漏えいして簡単に個人特定されてしまうような最悪の事態だけは絶対に避ける。

　情報漏えい防止策――様々なソフトやツールが販売され、それらをうまく組み合わせるのが良いだろう。しかし原則は、最重要レベルの情報という認識を持ってログの収集や管理を徹底すること。昨年（2014年）の大規模な情報漏えい事案のように、「USBメモリだけは監視してました」では絶対に通用しない。システム管理者は、OSや外部記録媒体などの急激な動向の変化へ常に気を配り、最新の製品でも検知ができる工夫が求められる。それでも100％の防衛策にならないのは辛いところだが……。

　バックアップ――各種トラブルやサイバー攻撃、内部犯罪、物理的な破損、災害などのリスクに備えた対応として身近だろう。筆者が見てきた企業の中には、例えば不正アクセスを発見しても阻止できない場合に、データを完全消去させて被害を食い止めようと考えているところがあった。後で物理的に完全に隔離しているバックアップ側からデータを復元してログベースで更新を行えばよいという考えだ。

マイナンバー制度の罰則の中でも一番厳しいのが、故意に漏えいした場合。この場合は4年以下の懲役もしくは200万円以下の罰金が科されます。

また、管理監督責任体制に問題があった場合には、特定個人情報保護委員会が業務改善に関する勧告や命令を行います。
この命令に従わないと、情報漏えいが起こっていなくても、2年以下の懲役もしくは50万円以下の罰金が科されます。


法人番号は、株式会社などの法人等に指定される13桁の番号で、個人番号（マイナンバー）と異なり、原則として公表され、どなたでも自由に利用できます。