マイナンバー制度は、近い将来の効率良い社会の構築にはなくてはならないものなのかもしれません。しかし、情報漏洩など様々なリスクを含んでいるのも事実です。自社の従業員のマイナンバーを管理することになる中小企業主の心構えをまとめてみました。
マイナンバー制度についておさらいしておきましょう。
2016年1月1日からスタートする社会保障・税番号制度(マイナンバー制度)。社会保障や税分野に大きな変革をもたらす制度だけに、個人や企業が知っておかなければならない知識や準備すべき事柄は多い。制度の基本についてもう一度おさらいする制度の導入趣旨についての政府の公式見解を引用しましょう。すなわち「番号制度は、複数の機関に存在する個人の情報を同一人の情報だということの確認を行うための基盤であり、社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平公正な社会を実現するための社会基盤(インフラ)である」。つまり、より公平で公正、かつきめ細やかな社会保障が的確に行われる社会の実現を目指す、という目的で導入されました。
同姓同名、電算入力ミスなどによるチェック作業の手間の増加や、1年の間に多数回引越した人の本人識別が困難であるなど、諸問題があったとか。
個人をナンバーのみで識別できれば、確かに効率は良いですよね。
企業主の対応は、4つのルールを念頭において行いましょう!
一口に事業者と言っても業種や業態、規模等は様々です。本稿では、個人事業主やスタートアップ期の法人等、比較的小規模な事業者を念頭に置きつつ、マイナンバー制度への対応を考えてみたいと思います。小規模な事業者ではマイナンバー制度への対応に、金銭的にも時間的にも過分な事務コストを掛けられないのが実情だと考えられます。
そこで、法律で規定された保護措置やその解釈について特定個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の内容をよく理解し、必要な範囲で効率的に対応することが賢い方法と言えるでしょう。
ガイドラインの内容は「マイナンバー4箇条」とも呼ばれる個人番号・特定個人情報に関する4つのルールに沿って整理すると理解しやすくなります。以下ではその4つのルールについて説明させていただきます。
その1 利用・提供・収集に関するルール
まず、個人番号の利用範囲は、番号法に規定された社会保障・税・災害対策に関する事務に限定されます。したがって、事業者であれば、社会保障及び税に関する手続書類の作成事務を処理する必要がある場合に限って、従業員等にその提供を求めることができます。たとえば、給与の源泉徴収事務の場合、従業員は「扶養控除等申告書」に自分と扶養親族の個人番号を記載して、事業者に提出します。この場合、扶養親族→従業員→事業者→税務署というように個人番号が提供されることになります。
なお、従業員等から個人番号を取得する場合には原則として「番号確認」と「身元確認」が必要ですので、社内の手続を整備する必要もあります。
また、法律で限定的に認められた場合を除き、特定個人情報を収集することはできません。なお、他人の個人番号をメモすること、プリントアウトすること、コピーを取ることは「収集」に当たりますが、個人番号の提示を受けただけでは「収集」には当たりません。
個人番号の使い勝手を良くするため、本人の申請にもとづき「個人番号カード」が交付される予定です。この個人番号カードを身分証明書として使用する際には注意が必要です。
たとえば、従業員以外の者から身分証明書として個人番号カードの提示を受けた場合、表面をコピーすることには問題ありませんが、個人番号が記載されている裏面をコピーすることは社会保障及び税に関する手続書類の作成事務以外での収集になりますので法律違反になってしまいます。
ほとんどの会社で、既存の職務と兼任させることになると思います。
人選には熟考が求められます。
その2 保管・廃棄に関するルール
保管社会保障と税に関する手続書類の作成事務を行う必要がある場合に限り、保管し続けることができます。契約が継続的に続いているような場合は、今後も利用する必要があると認められるため、保管し続きえることができます。
破棄
社会保障と税に関する手続書類を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければなりません。
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することとなります。
厳重な対応が国から求められていることがわかります。
その3 委託のルール
事業者が税や年末調整にかかる業務を税理士事務所に依頼しているような場合には、特定個人情報の取扱を「委託」していることになります。また、クラウドサービスを利用している場合、クラウドサービス業者が個人番号を含む電子データを取扱う場合には番号法上の「委託」に該当します。
このような場合、委託者は、委託先において、自らが果たすべき安全管理措置と同等の措置が講じられるように必要かつ適切な監督を行わなければなりません。
適切な監督というのは、(i)委託先の適切な選定、(ii)委託先に安全管理措置を遵守させるために必要な契約の締結、(iii)委託先における特定個人情報の取扱状況の把握のことを指します。
なお、税理士は専門家として「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」のほか「税理士のためのマイナンバー対応ガイドブック」等にもとづき、個人番号を適正に取り扱う責務を負いますが、事業者も委託者としての自覚を持ち、税理士事務所と意見交換や協議することは有用といえるでしょう。
また、委託先は、最初の委託者の許諾を得た場合に限り、再委託をすることができます。自身が委託を受けているときには、許諾を得ないまま再委託してしまわないように特に注意が必要です。
企業主って本当に大変なんですね。
その4 安全管理措置のルール
取扱い規定等の策定特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければなりません。
組織的安全管理措置
特定個人情報等の適正な取扱いのために、組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直しに関して組織的安全管理措置を講じなければなりません。
人的安全管理措置
特定個人情報等の適正な取扱いのために、事務取扱担当者の監督、事務取扱担当者の教育に関する人的安全管理措置を講じなければなりません。
物理的安全管理措置
特定個人情報等の適正な取扱いのために、特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏えい等の防止、個人番号の削除、機器及び電子媒体等の廃棄に関して物理的安全管理措置を講じなければなりません。
技術的安全管理措置
特定個人情報等の適正な取扱いのために、アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止に関して技術的安全管理措置を講じなければなりません。
「報漏えい等の防止に関して技術的安全管理措置を講じなければなりません。」とは、セキュリティシステムを一新することや専門業者との契約に関することを指していると思われます。
以上4つのルールを守ることを心構えとして、企業主さんは来る2016年1月のマイナンバー制度スタートに準備を進めていきましょう。
