中小企業なら、特例措置を使って負担を軽減できる！

国や地方公共団体である行政機関だけでなく、民間事業者も事業規模の大小や取扱い件数を問わず、マイナンバーを適切に管理する義務があります（番号法第12条個人番号利用事務実施者等の責務）。

しかし条件を満たす中小規模事業者（以下中小企業）に該当する場合は特例措置が適用されます。どのような条件を満たした中小企業に、どのような特例が認められているのかを見ていきましょう。

特例措置が適用される条件とは

従業員数が100名以下の中小企業は取扱件数がそれほど大きくないこともあり、原則の措置よりも緩やかな特例措置を施用することができます。

ただし以下の条件にあてはまらないことが条件となっています。

また個人番号関係事務の全部または一部を外部に委託する場合もあるでしょう。その場合、委託者は、「委託を受けた者」において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう「必要かつ適切な監督」を行わなければなりません。「必要かつ適切な監督」には、以下の3つが含まれます。

「従業員100人以下の中小規模事業者」が「紙」で個人番号を集めた場合、個人番号を取り扱う「取扱区域」の物理的安全措置や「紙」の盗難などの防止などが必要になりますが、経理・人事・総務で1つの部屋で業務を行っているような場合は、その部屋全体が取扱区域に当たりますので、まずは、その部屋に鍵がかかることや、書類を鍵のかかるキャビネットで管理するなどの対応で大丈夫です。

その他については、内閣府のマイナンバー導入チェックリスト「管理・保管」にもありますが、最低限以下の対応を行いましょう。
マイナンバーが記載された書類は、カギがかかる棚や引き出しに大切に保管するようにしましょう。無理にパソコンを購入する必要はありません。
パソコンがインターネットに接続されている場合は、ウィルス対策ソフトを最新版に更新するなどセキュリティ対策を行いましょう。
従業員の退職や契約の終了などでマイナンバーが必要なくなったら、細かく裁断するなどマイナンバーの書いてある書類を廃棄しましょう。パソコンに入っているマイナンバーも削除しましょう。

自分のマイナンバーを他人に知られてしまっても、マイナンバーは数字の羅列であり、それ単体で知られたくない個人情報が分かってしまうわけではない。一方、例えば年収や家族関係、健康状態などが他人に分かってしまったら、あれこれと思われてしまうかもしれない。内容の機微性という意味ではマイナンバー以外の個人情報の方が高いだろう。

　ではマイナンバーの何が危険なのだろうか。

　マイナンバーは「索引情報」や「キー」としての価値を持つ番号である。同様の性質を持つ個人情報としては、お客様番号やID、住民票コード、基礎年金番号、税務申告の際の整理番号などが存在する。これらの情報はその中身自体よりも、様々な個人情報を抽出・集約できる「索引情報」「キー」として価値がある。

　マイナンバーは、数多くある民間サービスの番号やIDとは異なり、原則として生涯不変の番号である。民間サービスの番号やIDは変更してしまえば、多くの場合はそれまでの情報とひも付かなくなる。しかしマイナンバーは、変更してもそれまでの情報とひも付く場合も多い。

　マイナンバーの危険性をまとめると、（1）様々な個人情報を抽出・集約できる「索引情報」であること、（2）ひも付いた情報の変更やリセットがしづらいこと、が挙げられる。

　もちろん、これらの特性があるからこそ、マイナンバーによって本人特定が正確になり、情報管理・情報連携のミスをなくして、より良い政策が実現しやすくなる。その半面、悪用されると、個人のプライバシー権に深刻な被害を生じる恐れがある。

　マイナンバー法のルールに従うためには、どうしたらよいか。実はマイナンバーのルールは、マイナンバー法だけで定められているわけではない。より一般的な個人情報を対象にした、個人情報保護法などでも規定されている。求められているのは、二つの大枠である。一つめは「必要な範囲でしか取り扱わない」こと。二つめは「きちんと管理する」という単純なことだ。

中小企業の委託先でマイナンバーが絡むと言えば、この２業種になります。この２業種の先生がたから、御社へ契約内容変更や、マイナンバー対応について連絡があり、新しい契約内容等について説明済みであれば問題有りません。

この時点で、なぜ、税理士さん、社労士さんへの連絡が必要かというと、場合によっては顧問先を再検討しなければならないからです。

特定個人情報管理の委託
特定個人情報の管理は、社内で実施すると非常に多くの手間がかかり、刑罰リスクも高いため、クラウドベンダーや専門家に委託をすることも可能です。

再委託など

社会保障及び税に関する手続書類の作成事務の全部または一部の委託を受けた者は、委託者の許諾を得た場合に限り、再委託をすることができます。再々委託の場合も同様です。

番号法における安全管理措置の検討手順

番号法及びガイドラインでは、事業者が安全管理措置を策定する際に、次の手順で検討することを求めています。
マイナンバー取扱事務の範囲の明確化
マイナンバー取扱事務を行うために必要な、特定個人情報等の範囲の明確化
マイナンバー取扱事務を担当する者の明確化
このように事務内容・扱われる情報・扱う担当の三つの分野に分けて、検討を始めるのです。
それでは、例を挙げて検討していきます。

マイナンバー取扱事務を委託する際は、委託先が重要な情報であるマイナンバーを取扱う事務を任せるにふさわしい相手であるかどうかについて「必要かつ適切な監督」をすることが求められています。
ガイドラインによるとこの「必要かつ適切な監督」には、具体的に、以下の内容が含まれていると説明されています。
委託先の適切な選定
安全管理措置に関する委託契約の締結
委託先における特定個人情報の取扱い状況の把握
もちろん、これらの監督義務を怠った状態で、委託先などから特定個人情報等が漏えいした場合には、委託者が番号法に違反したと判断される可能性も十分にあります。

ポイントは、「必要かどうか」である。マイナンバーに対応するために過剰に構える必要はない