中小企業が抱えるマイナンバー管理

マイナンバー制度が始まるにあたり、管理方法に頭を抱えている経営者の方は沢山いらっしゃるのではないでしょうか…そこで、経営者の方達が従業員の大切な個人情報を管理する際にまずは知っておくべき情報をお伝えします。

【1】マイナンバーについて

マイナンバーとは?
皆さんもうご存知だと思いますが、まずはおさらいです。
マイナンバーは、住民票を有する全ての国民1人1人に割り振られた12桁の番号です。
色々な機関にある個人の情報が、同一人物の情報であるということを確認する際にマイナンバーが活用されるそうです。
Yahoo! JAPAN 特別企画 - マイナンバーが始まります。 (21555)

【2】中小企業が直接関わるマイナンバーの利用分野

マイナンバーは、税・社会保障・災害対策の3つでまず利用が始まります。
企業に直接関係するのは、税と社会保障の分野です。

従業員の社会保険の手続きや税の手続き時にマイナンバーの記載が必要になるということです。具体的には、「厚生年金保険の被保険者取得届の作成」や「健康保険被保険者資格届の作成」、「雇用保険被保険者資格取得届の作成」、「源泉徴収票の作成」などがあげられます。

どんな場面でマイナンバーが必要になるのかを予習して頭に入れておけば、いざ作業が必要になった時に慌てずに済みそうですね。

【3】マイナンバー管理に至るまでの道のり

【3-1】従業員のマイナンバー取得~安全管理について
◎マイナンバー、特定個人情報の取得・利用・提供は番号法によって限定的に定められています。
◎社会保障及び税に関する手続書類の作成事務を処理するために必要がある場合に限って、従業員等に個人番号の提供を求めることができます。
  
【取得】
社会保障及び税に関する手続書類:源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格取得届など。

【利用・提供】
事業者は、社会保障及び税に関する手続書類に従業員等の個人番号・特定個人情報を記載して、行政機関等及び健康保険組合等に提出することとなります(個人番号関係事務)。
その他、番号法で限定的に定められている場合以外の場合は、個人番号・特定個人情報を利用・提供することはできません。

◎必要がある場合だけ保管が可能、必要がなくなったら廃棄が必要です。

【保管】
特定個人情報は、社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限り、保管し続けることができます。
※個人番号が記載された書類等のうち所管法令によって一定期間保存が義務付けられているものは、その期間保管することとなります。

【廃棄】
社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければなりません。

◎委託先の必要かつ適切な監督が必要です。再委託する場合は、最初の委託者の許諾が必要です。

【委託】
委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
委託先が再委託する場合は、最初の委託者の許諾を得た場合に限り、再委託をすることができます。
※再々委託以降も同様です。

◎個人番号・特定個人情報を保護するために、必要かつ適切な安全管理措置が必要です。

【安全管理措置】
個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督も行わなければなりません。

特定個人情報保護委員会事務局作成のガイドラインからの抜粋です。
じっくり読んで理解することが重要です。
【3-2】マイナンバー利用のリスクについて
1.情報漏えいの危険性が高まる

マイナンバーの取得時や提供時に、電子メール、ファックスや郵送などを利用すると、情報が分散し管理工数がかかるだけではなく誤送信や紛失による情報漏えいリスクが高まります。

2.企業がやるべき業務の負担が増加

マイナンバーは、2016年1月から社会保障や税の様々な手続きに使用します。問題なのは、取扱関係者はその利用記録をすべて残さなければならないという点です。また手続きを委託した場合、企業はその手続きを委託する士業の管理監督の必要があります。同制度による業務負担の増加は避けられません。

3.不正利用の危険性が高まる

もしもマイナンバーを管理しているPCや鉄庫をいつでも誰でも簡単に利用できる環境があるとしたら、不正利用の危険性を避けられません。内閣府のガイドラインでは、取扱責任者や担当者の選任が義務付けられ、使用する情報システムへアクセス制御やアクセス者の識別・認証を求めています。

上記のように、より具体的な作業を行う企業担当者は源泉徴収票などの所得税関連の書類や、算定基礎届けなど社会保険関連の書類で、役所に提出するものにマイナンバーを記載しなければならなくなるため、社内の書類フローの見直しや、帳票類などの改変、システムの改変などが必要となります。

また、マイナンバーは、われわれ一人ひとりを特定できるような非常に機密性の高い情報のため、プライバシー保護に関して、行政、民間を問わず番号の管理や利用は様々な制約を受けます。そして企業がマイナンバーを利用する場合は、取得から破棄に至るまで厳格な管理が必要となるため、相応の社員教育や、情報セキュリティへの対策が必要となってくるでしょう。

マイナンバー利用時は、細心の注意を払わなければなりませんね。

【4】管理開始

【4-1】管理者と事務担当者
まずはマイナンバーの管理者と事務担当者を決めます。
マイナンバーの事務担当者の仕事は、従業員からマイナンバーを聞き、データにまとめ、税務署やハローワーク、健康保険組合、年金事務所などに対して、各手続き時に必要な番号を報告することです。
管理者は、集めたマイナンバー情報を管理監督する役目になります。
管理者と事務担当者を決めてから、臨機応変に対応出来るようデータをまとめたりと、準備をすることが大切なんですね。
【4-2】セキュリティ対策例
従業員から集めたマイナンバーの管理については、セキュリティ対策も含めて厳重に扱います。
マイナンバーの取扱いは、事務担当者と責任者だけに限定し、他の従業員や外部者には見られないような対策が必要です。
中小企業では以下のような点に気をつけます。(対策例です)

マイナンバー管理のセキュリティ対策例

管理するパソコンには「ログインパスワード」を付与する
管理するパソコン本体は「鍵のかかるロッカー」に入れる
管理するパソコンには「セキュリティソフト」を入れる
エクセルなどにまとめた場合は「データにパスワード」を付与する
データを外部にメールで送信する場合は、パスワードをデータと一緒に送信しない(誤送信による漏えいを防ぐため)
紙出力したものは「鍵のかかるロッカー」に入れる
マイナンバーの取扱状況のわかる記録を保存する(例:11月30日 年末調整に使用)
退社した社員については速やかに番号を破棄する
事務作業をするパソコンは、後ろから他の人が見えない位置に配置する

後ろから見られない位置にパソコンを配置する等、細かな配慮も重要となってくるようですね。
【4-3】管理方法別に見るセキュリティ対策
管理方法別 マイナンバー制度による負担の比較

管理方法別 マイナンバー制度による負担の比較

どんな管理方法でセキュリティ対策をするかは熟考して決めなければなりませんね。
それぞれのリスクも考慮した上で、どの方法がより安全に管理出来るかを話し合うことも重要になりそうです。
・手書き/エクセルの場合

電子化しないで管理する方法はデータが飛び交う現代に逆らっているように思えますが、書類の管理体制を徹底すれば安全と言えるのかもしれません。
ただ、担当者の業務内容が多く仕事量がストレスとなり、セキュリティ対策への意欲が軽減したり注意散漫になってしまうかもしれませんね…

パッケージの場合

パッケージの場合

パッケージソフトを利用するのは取っ掛かり易そうで自分達で管理する為安心なように思えますが、セキュリティレベルを考えると情報流出のリスクが高そうにも思えますね…
クラウドの場合

クラウドの場合

クラウドサービスを利用すれば企業の負担は軽減される上、プロの手によってセキュリティを暗号化してもらえるので好印象ですが、信頼できるデータセンターの選出が難しそうです。