マイナンバー制度で定められた企業の義務まとめ

マイナンバーの利用が開始されると、企業は、パート・アルバイトを含め、全従業員のマイナンバーを順次取得し、源泉徴収票や健康保険・厚生年金・雇用保険などの書類にマイナンバーを記載することになり、関連するシステムの強化、改修が必要になります。
マイナンバーは、「民（個人）⇒民（企業）⇒官」という流れで利用されます。
このなかで企業は、従業員等の個人（含む扶養家族）からマイナンバーを収集する役割をもちます。収集したマイナンバーは、法規定に準拠して管理し、取り扱う必要がなくなった場合は、所管法令に定められた保管期間後、できるだけ速やかに復元できない手段で削除または廃棄をする必要があります。

会社は、税や社会保障関係の事務を行うために、本人等からマイナンバーの提供を受けることになりますが、その際に、会社は必ず本人確認をしなければなりません。いわゆる「成りすまし」を防ぐためにも厳格な本人確認が求められます。

本人確認では、2つのことを確認することになります。一つは、正しい番号であることの確認、つまり「番号確認」です。もう一つは、正しい番号の持ち主であることの確認、つまり「身元確認」です。以上の2つの確認がワンセットになって「本人確認」となります。

番号確認と身元確認のための確認書類については、番号法施行規則等により定められています。顔写真入りの「個人番号カード」であれば、個人番号カード1枚で番号確認と身元確認の両方を確認できます。紙製の「通知カード」や「マイナンバー付きの住民票」により番号確認する場合は、「運転免許証」や「パスポート」等による身元確認でワンセットの本人確認となります。

また、従業員の扶養親族のマイナンバーの記載が必要な書類があります。例えば「扶養控除等申告書」「国民年金第3号被保険者関係届」等ですが、書類により対応方法が異なりますので注意が必要です。

「扶養控除等申告書」については、会社への提出義務者は従業員で、その扶養親族のマイナンバーの本人確認も従業員が行うことになりますので、会社は扶養親族の本人確認を行う必要はなく、従業員についての本人確認を行えばよいことになります。

これに対し、「国民年金第3号被保険者関係届」については、会社への提出義務者は扶養親族であることから、会社が扶養親族の本人確認をする必要があります。しかしながら、会社が扶養親族に直接本人確認するのは大変ですので、実務上は、扶養親族の代理人として従業員がマイナンバーを会社に提出する方法があります。この方法の場合、会社は「代理権確認」「代理人の身元確認」「本人の番号確認」の3つの確認が必要になります。

個人情報法では、個人情報を5,000件超えて保有している企業・団体には管理義務があります。一方、マイナンバーは他人の番号を1つでも取り扱うと管理義務が発生します。マイナンバーの管理義務は、規模の大きさに関わらず、すべての企業が対象です。
しかし、従業員が家族だけの場合は管理義務から除外されます。

原則としてマイナンバーを法に定められた利用範囲を超えて利用することはできませんし、特定個人情報（マイナンバーをその内容に含む個人情報[Ｑ5－4]参照）をむやみに提供することもできません。また、マイナンバーを取り扱う際は、その漏えい、滅失、毀損を防止するなど、マイナンバーの適切な管理のために必要な措置を講じなければなりません。具体的な措置については、特定個人情報保護委員会からガイドラインが示されていますので、そちらをご覧ください。なお、特定個人情報を不適正に取り扱った場合には、特定個人情報保護委員会から指導・助言や勧告・命令を受ける場合があるほか、正当な理由がないのに、個人の秘密が記録された特定個人情報ファイル（マイナンバーをその内容に含む個人情報ファイル[Ｑ5－4]参照）を提供した場合などには、処罰の対象となります（[Ｑ5－8]参照）。

特定個人情報はマイナンバー法で利用目的を明示した上で収集し、必要がある限り保管し続けることができます。個人番号カードの有効期間は10年（※20歳未満については5年）ですが、番号そのものは原則として生涯唯一の番号として取り扱うことになっています。何度も収集する手間を省くために、事務手続きで必要な限り保管し続けることができるとしています。

マイナンバーのガイドライン内では「保管し続けることができる」という表現で、実質的な保管期間を事業者に委ねています。前提として使用しないデータはできるだけはやく廃棄したり削除したりするようにとの保管制限があるからです。

当該書類に関する所管法令によって一定の保管義務が発生する場合は、その法令に準じる形で保管期間を設けることになります。言い換えれば、一定の保管期間が経った書類に関してはただちに廃棄する必要があるのです。

マイナンバーの保管期間に対する考え方は、これまでの法令や制度とは圧倒的に異なります。電子帳簿保存法という法律があることからもわかるように、原則として保存したり保管したり、廃棄せずに確認できる状態にしておくことに重点をおいた考え方が主流でした。しかし、マイナンバー制度においては使用しない特定個人情報は廃棄削除することが前提となっており、「使用し続ける期間は保管することができる」という条件付きで保管期間を設定することを事業者が判断できるようになっているのです。

個人番号利用事務や個人番号関係事務を行なう必要のなくなった特定個人情報は、できるだけはやく廃棄処分しなくてはなりません。廃棄や削除するために「容易に復元できない手段」で行なうことが重要になります。それではどのような手段が復元不可能な手段となるのでしょうか。

たとえば通知カードや個人情報カードのコピーをとっていた場合は紙媒体で保管していることになります。紙媒体を廃棄するためには焼却や融解が挙げられます。また復元できない程度に細断できるシュレッダーも廃棄手段として有効です。

次にデータで保管している場合を考えてみましょう。特定個人情報データを保存している電子媒体や機器類は、削除専用のソフトウェアを使用することや、物理的に破壊する手段があります。またデータ復元用システムといった専用の装置を用いなければ復元できない場合、容易に復元できない手段だと考えることができます。

さらにマイナンバー制度では廃棄削除するだけでは事足りず、その事実を記録しておく作業も必要となります。廃棄削除に関する内容として、廃棄した特定個人情報の書類名称、部数、担当者名、廃棄手段などを記録します。記録内容にマイナンバーを記載したり転記したりすることのないように注意します。

また取扱件数が多い事業者の場合、委託することも考えられます。廃棄作業を委託した場合、証明書等の発行によって記録とすることが可能となります。

国や地方公共団体である行政機関だけでなく、民間事業者も事業規模の大小や取扱い件数を問わず、マイナンバーを適切に管理する義務があります（番号法第12条個人番号利用事務実施者等の責務）。

しかし条件を満たす中小規模事業者（以下中小企業）に該当する場合は特例措置が適用されます。

従業員数が100名以下の中小企業は取扱件数がそれほど大きくないこともあり、原則の措置よりも緩やかな特例措置を施用することができます。

・従業員数が100名以下
・民間事業者である
・マイナンバーに関する業務委託を受けていない
・金融分野の事業者ではない
・個人情報取扱事業者ではない

というような場合に、中小企業における特例措置を活用することができるのです。

原則として基本方針や取扱規定等の策定を行なうことになっていますが、中小企業の特例として既存の業務マニュアルや業務フロー図にマイナンバーに関する事項を盛り込むことで対応可能としています。

また、組織体制を整備することが求められていますが、中小企業の場合は責任者と事務取扱担当者に分けることによって組織体制の整備とすることができます。

さらに電子媒体等を持ち出す場合、事務所内の移動であったとしても十分に注意することが原則となりますが、中小企業の場合は電子媒体や書類を移送するための安全な方策を講じればよいとしています。

個人番号を削除した場合においても破棄した記録を保存することとなっていますが、例外規定として破棄したことを確認すれば事足りるとしています。

中小企業は取扱件数を考慮し安全管理措置について特例が認められていますが、委託を受けた場合は特例措置が認められません。

特定個人情報に関する委託を受けた場合は、委託者自身が本来果たすべき内容と同等の安全管理措置を講じなければならないからです。

ただし「委託に関する同等の安全管理措置」は、番号法や個人情報保護法の規定を満たしていれば良く、委託者と同レベルの高度な水準が求められているわけではありません。