中小企業はマイナンバーをどう管理する？システム変更前に考えることとは？

同社でマイナンバー制度導入プロジェクトの立ち上げなどが決まり、最初の会合で筆者は助言を求められた。今までに提供された政府系の資料やベンダーの資料を基に、まずマイナンバー制度の概要について復習を兼ねながら再度解説し、その上でどこまでの範囲に影響するのか、そして、対応手段について全体のバランスや、特に監督官庁から見た場合に問題となりそうな対応について、次のように切り分けしてほしいと指示した。

対応なし（本来は対応した方が望ましいが、今回は緊急対応のみ優先させる）
手作業
システム変更
サブシステムの追加
システムの更改：中規模（原則として単体システムだけ考慮すれば良い作業）
システムの更改：複数システムを跨ぐ大規模な更改と周辺システムの変更や追加、更改
　また、最近よくSIerから提案されるマイナンバーの収集、管理、帳票印刷などのトータルパッケージシステムは、対応上のリスクが高い部分に適用することで、企業としてはこの部分だけを切り離して議論できるようになる。この方法は4と5の中間にあたる対応といえる。

　詳しくはお伝えできないが、この他にも以下のような対応が必要になっている。

従業員や経営側へのマイナンバー制度の教育とシステム管理者へのマイナンバーの取り扱い規定の教育
内部統制の変更（特にマイナンバー取り扱い規定と組織の変更）
帳票の変更（特に法定帳簿とそれに準じた帳票）
データベース構造やファイルでの「マイナンバー」における個別のセキュリティ対策、強制的なマイナンバー変更手続きなどのシステム、手作業による組み込みの実現方法
社内全体のセキュリティ強化策、内部犯罪防止対策（原則としてネットワーク系のトランザクションには9割以上影響がなかった）
　業種・業態、規模、カルチャー、既存システムの構造、その他の環境などの違いを考えれば、マイナンバー制度への対応は、100社あれば100通りだろう。もし現段階でも対応について「なんとかなる」と安易に考えているなら、後で大きなしっぺ返しを受けるはずだ。1日でも早い取り組みが必須である。

　特に、全てを手作業で対応するというのは零細企業の一部なら可能かもしれないが、中堅企業以上では到底できない。

Ｑ4－4－1　民間事業者がマイナンバー（個人番号）を取り扱うにあたって、注意すべきことはありますか？
Ａ4－4－1　原則としてマイナンバーを法に定められた利用範囲を超えて利用することはできませんし、特定個人情報（マイナンバーをその内容に含む個人情報[Ｑ5－4]参照）をむやみに提供することもできません。また、マイナンバーを取り扱う際は、その漏えい、滅失、毀損を防止するなど、マイナンバーの適切な管理のために必要な措置を講じなければなりません。具体的な措置については、特定個人情報保護委員会からガイドラインが示されていますので、そちらをご覧ください。なお、特定個人情報を不適正に取り扱った場合には、特定個人情報保護委員会から指導・助言や勧告・命令を受ける場合があるほか、正当な理由がないのに、個人の秘密が記録された特定個人情報ファイル（マイナンバーをその内容に含む個人情報ファイル[Ｑ5－4]参照）を提供した場合などには、処罰の対象となります（[Ｑ5－8]参照）。

Ｑ１０－１「事務取扱担当者の明確化」は、役割や所属等による明確化のように個人名による明確化でなくてもよいですか。
Ａ１０－１部署名（○○課、○○係等）、事務名（○○事務担当者）等により、担当者が明確になれば十分であると考えられます。ただし、部署名等により事務取扱担当者の範囲が明確化できない場合には、事務取扱担当者を指名する等を行う必要があると考えられます。

Ｑ１０－２事務取扱担当者には、特定個人情報等を取り扱う事務に従事する全ての者が該当しますか。
Ａ１０－２事務取扱担当者は、一般的には、個人番号の取得から廃棄までの事務に従事する全ての者が該当すると考えられます。
ただし、事務取扱担当者に該当するか否かを判断することも重要ですが、当該事務のリスクを適切に検討し、必要かつ適切な安全管理措置を講ずることが重要です。例えば、担う役割に応じて、定期的に発生する事務や中心となる事務を担当する者に対して講ずる安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対して講ずる安全管理措置とが異なってくることは十分に考えられます。
なお、社内管理上、定期的に発生する事務や中心となる事務を担当する者のみを事務取扱担当者と位置付けることも考えられますが、特定個人情報等の取扱いに関わる事務フロー全体として漏れのない必要かつ適切な安全管理措置を講じていただくことが重要です。

マイナンバー漏洩には厳しい罰が待っている

個人情報保護法でも個人情報を不適切に扱うなどした場合の罰則は設けられています。しかし、番号法では個人情報保護法で設けられている罰則がグレードアップしている上に、いくつかの罰則が新設されました。

最も重い罰則は「個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供」した場合の「４年以下の懲役若しくは200万円以下の罰金又は併科」。

ほかにもマイナンバー関係事務担当者が自分の利益や他人の利益のためにマイナンバーを漏洩させた場合や、騙したり、暴力を振るってマイナンバーを強奪した場合などにも3年以下の懲役や150万円以下の罰金が待っています。今あげた3つの行為を含む下図の6つの違反行為が社内で起きた場合は、それをした人だけでなく、その管理者にも罰金刑が科せられるので、担当者選びは慎重に行う必要があります。

特定個人情報の漏えい、マイナンバー法に違反する恐れがある場合には、速やかに上司や責任者に報告しましょう。そして、それ以上にマイナンバーの漏えいがないように努め、事実関係を調べて原因をはっきりさせて、再発を防止するようにしてください。

マイナンバーが漏えいしてしまった場合、消費者庁では以下のような対応を想定しています。

事実調査、原因の究明→いつ、何が、どのくらいなど、漏えいの内容を確認してください。
影響範囲の特定→マイナンバーが漏えいしたことで、影響を与える範囲と内容にどのようなものがあるのか調べてください。
再発防止策の検討・実施→原因などの調査結果から、マイナンバーがどのようなルートで漏えいしてしまったのかが分かれば、その遮断などをしてください。
影響を受ける可能性のある本人への連絡等
事実関係、再発防止策などの公表
関係大臣・認定個人情報保護団体への報告
マイナンバーが漏えいしたことで、その個人番号を悪用する二次被害も考えられます。模倣犯の発生を防止するためにも、マイナンバーが漏えいしてしまった本人への速やかな連絡や、事実と再発防止策などの公表を行うことが望ましいと考えられます。