マイナンバー制度に対応するために企業に必要なのはどんなことでしょうか。しっかりと確認しながら適切に運用していくことが大切です。
本当に十分な対策が出来ているのか、危機管理は適切か、抜け落ちていることはないか、今一度確認しておきましょう。
トラブルを起こさない為にも、定期的にチェックしていくことが大切です。
従業員のマイナンバーを収集
すべての従業員から確実に収集しておく必要があります。
パートやアルバイトも例外ではありません。
2016年1月以降、源泉徴収票や支払調書の発行、社会保険や税の手続きにおいて、マイナンバーの印字・提出が必要となります。
そのために、企業は従業員や従業員の扶養家族、弁護士や税理士等の個人取引先、
株主からマイナンバーを収集する必要があります。
マイナンバーを企業内で取り扱うにあたっては、主に「取得」「利用・提供」「保管・破棄」の3つの業務が生じる。まず取得に関しては、従業員に対して取得の利用目的(源泉徴収票の作成など)を伝えて、提出を求める必要がある。あわせて、本人確認のための書類も用意してもらう必要がある。企業の担当者は、運転免許証やパスポートなどによる身元確認と、番号確認の両方を行わなければならない。また、国民年金第3号被保険者関係届もマイナンバーを記載する必要のある書類のため、企業は従業員の扶養者の情報も必要となってくる。
その収集方法や本人確認など、適切に行う必要があるのです。
利用目的なども通知し、その他の用途に使うことはもちろん許されません。
① 従業員等とその扶養家族
② 不動産の使用料金の支払先
③ 士業等、外部の報酬支払先
④ 配当の支払い先従業員「等」には、役員やパート・アルバイトも含まれますのでご注意ください。
また、業態としてパート・アルバイトの多い業種(小売業、製造業、飲食業など)や、謝金の支払いの多い業種(出版関係など)は、たとえ中小企業であってもマイナンバーに係わる事務処理が膨大になる可能性があるので、早めにマイナンバーの収集を開始するように注意してください。
マイナンバーを取得する際には、正しい番号であることの確認(番号確認)と、
番号の正しい持ち主であることの確認(身元確認)が必要です。原則として、
① 個人番号カード
② 通知カード又はマイナンバーの記載された住民票の写しと運転免許証など
で確認する必要があります。
また、雇用関係にあることなどから本人に相違ないことが明らかに判断できると
認められるときは身元確認書類を不要とすることも認められます。
更に、勘違いや認識間違いなど混乱を防ぐ為にも、担当者同士が情報を共有するルール作りもしておきましょう。
収集したマイナンバーを取り扱う
そして注意すべき点はどんなところでしょう。
①業務の洗い出し、
②帳票や、出力しているシステムの把握
③マイナンバーの取り扱いに関するルールの設定
④実際に帳票を出力しているシステムの改変
⑤運用のテスト
マイナンバーを取り扱う部門と業務内容を漏れなく洗い出します。なお、このとき、法律で利用できる分野が限定されており、「限られた業務の範囲内のみ」でしか利用できず、従業員情報を管理するものではないことを確認しておく必要があります。
民間企業が影響を受けるのは人事・労務・給与業務です。税務署や市区町村役所、年金事務所などに今まで提出していた書類にマイナンバーを新たな追記しなければなりません。また、健康保険、厚生年金保険、雇用保険の資格の取得・喪失などの届出を行う書類にもマイナンバーを記載します。
・1)社員の大切な個人情報ですから、マイナンバーを扱う上で、社内のルール(基本方針や取り扱いなど)をつくりましょう。・2)社内の各課でマイナンバーを受け入れる為に「給与」「会計」「人事」など、関連性の高い部署は、事前にマイナンバーに対応した開発や改修を行う必要があります。
・3)マイナンバーを取り扱う上でセキュリティー強化は必須です。安全管理上、取扱責任者は、情報漏洩防止策の検討や、組織づくりや、社内の情報アクセスを見直し制御するように管理体制を整えましょう。
・4)マイナンバーを取り扱う部署として有力な経理部門においては、取り扱いについて従業員の教育を行う必要があります。制度の認知や、情報管理の面でも、マイナンバー取り扱い研修などを行い徹底的に安全管理につとめましょう。
マイナンバーを扱う企業に課せられる義務とは。
企業には、社員のマイナンバーを適切に運用・保管することが求められます。
最重要の個人情報として、他人に知られることは決してあってはなりません。
なお、個人番号の「利用」という局面においては法第9条でその使途が限定列挙されており、これらの事務を行うために協力する、というのが民間の立場です。ただし、その際には個人番号を取扱うようになるのですからその扱いには、気を付けなければいけません。例えば、メールの本文に個人番号を書いてそのまま情報をやりとりすることで大丈夫なのか等、一考を要します。
情報漏えいの原因は、大きく2つに分類できる。1つは誤操作や管理ミス、端末の紛失・置き忘れといったヒューマンエラーに起因するもの。すなわち「過失」によって発生する事故であり、事故件数としても圧倒的に多い。もう1つは、不正アクセスや不正な情報持ち出しなど、内部犯罪、不正行為といった「故意」による事件だ。これは件数としては少ないものの、大量の情報漏えいにつながる可能性が高い。
管理体制や危機管理の義務をしっかりと果たしておかなければ、いつどんな経緯でトラブルが起きるかわかりませんので、万全の対策を講じておきたいものです。
マイナンバーや関連データを取り扱う経理や総務関係者のリテラシーを高める教育と共に、サイバー攻撃に備えてウイルス感染の予防策と感染後の二次対策が必要になってきます。
また、マイナンバーが格納されたシステムへのアクセス制限やアクセスログ取得を行うことも必要です。
下記4点はとくに企業が講じるべき安全管理措置です。アクセス制御
情報システムを使用して個人番号関係事務や個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。
外部からの不正アクセス等の防止
外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを情報システムに導入し、適切に運用する。
情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
マイナンバーを含む個人情報を漏洩させてしまうと、漏洩者はもちろん、それを監督する企業にも法律による罰則が科せられる場合があります。このような不祥事は企業のブランドイメージを大きく損ない、企業、経営側の責任問題が追及され、ビジネスに深刻な悪影響を及ぼす恐れがあります。このようなリスクに対応するため、企業はマイナンバー法とその取扱いガイドラインを守る必要があります。
情報漏えいの対策として、例えば人事・給与システムへのアクセス権やアクセスログの取得、および不正アクセスがあったときにいち早くアラーム情報を情報管理責任者にあがるようすることなどが考えられます。拠点が多い、あるいはアクセスする担当者が多い企業は、業務の見直しを図るとともに物理的にもアクセスを制限するシステムへの変更を検討したほうが良いでしょう。今までと同様な取り扱いルールやシステム運営では問題が発生する危険性があります。マイナンバー情報に対する取り扱い注意の意識や法的な罰則事項を従業員へ啓発することも必要となります。
担当者はもちろん、経営者や少しでもマイナンバーの扱いに関わる人であれば、互いに理解を深めて、細心の注意を図ることが求められていきます。
マイナンバー制度は始まったばかり、今後の動きに敏感になっておくことも必要でしょう。