知っておきたい情報「マイナンバー制度」。特に個人情報の取扱いに注意！

マイナンバーは、住民票を有する全ての方に１人１つの番号を付して、社会保障、税、災害対策の分野で効率的に情報を管理し、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用されるものです。
　 マイナンバーは、行政を効率化し、国民の利便性を高め、公平かつ公正な社会を実現する社会基盤であり、期待される効果としては、大きく３つあげられます。

　 １つめは、所得や他の行政サービスの受給状況を把握しやすくなるため、負担を不当に免れることや給付を不正に受けることを防止するとともに、本当に困っている方にきめ細かな支援を行えるようになります。（公平・公正な社会の実現）

　 ２つめは、添付書類の削減など、行政手続が簡素化され、国民の負担が軽減されます。また、行政機関が持っている自分の情報を確認したり、行政機関から様々なサービスのお知らせを受け取ったりできるようになります。（国民の利便性の向上）

　 ３つめは、行政機関や地方公共団体などで、様々な情報の照合、転記、入力などに要している時間や労力が大幅に削減されます。複数の業務の間での連携が進み、作業の重複などの無駄が削減されるようになります。（行政の効率化）

平成27年10月から、住民票を有する全ての方に１人１つのマイナンバー（個人番号）が、通知されます。
市区町村から、住民票の住所に通知カードが送られてきます。
住民票と異なるところに住んでいる場合は、通知カードが届かないので、住んでいるところに住民票を異動させて下さい。

2016年1月からマイナンバーを用いた業務がスタートします。
法人や個人にはマイナンバーが与えられ、多くの手続きの際にマイナンバーを用いることになります。
2015年10月に、個人にはマイナンバーが記載された通知カードが送付されてきます。
企業はそれまでに以下の様なことを準備しておく必要があります。

・マイナンバー制度というものについての理解
・マイナンバーを用いた事務内容の明確化
・マイナンバーが取り入れられる事務に係るシステムの変革
・従業員への周知のためのアクティビティー
・マイナンバーを扱う事務職員、取引先への研修

しかし、これらのことを一気にすることは難しいですよね。
そこで準備にあたってはスケジュールを組んで段取りよく準備を進めていくことが大切なのです。

マイナンバー制度では、2015年10月から｢通知カード」により国民への番号の通知が開始されます。
同時にマイナンバーカードの申請番号が届きますので、
希望者はナンバーカードを申し込むかたちになります。

そして翌年の2016年6月1日からマイナンバーカードの利用が開始されます。

一方企業（給与支払い者）は2015年10月から番号利用開始までの間で、
税務・社会保障手続きなど利用目的を明確化し、通知した上で
従業員とその扶養家族、（金融機関の場合は顧客も）より
個人のマイナンバーを入手しなければなりません。

番号利用開始時期は、法定調書などを行政機関などに書類を提出する時なので、
番号カードが届くよりも前となることもあります。

必ずしも平成28年1月のマイナンバーの利用開始に合わせて取得する必要はないともいえるのですが、
民間企業はマイナンバーを本人の申告以外に取得する方法がないため、
事前にフォーマットやルール等を決めておき、マイナンバーを各人から申告して貰うための期間を設けることをお勧めします。

法人には法人番号が与えられます。ちなみに法人番号は「マイナンバー」という表現はしないのでご注意ください。
法人は市町村、年金事務所、健康保険組合、税務署、ハローワークが業務を簡素化させるために、従業員や取引先などの個人番号（マイナンバー）を提供しなければいけません。

法人が取引先や従業員などから提供された個人番号（マイナンバー）を使って書類を作成し、提出することで行政の事務の簡素化が進められることになります。

従業員や従業員の扶養家族が提出したマイナンバーによって、従業員が会社に提出するべき各種届出書類の数が減ることで、法人の事務処理の簡素化も進められることになります。
そして法人が作成した源泉徴収票、被保険者資格取得の届出などの社会保険関係手続きを税務署や年金事務所などに提出します。

①取引先の情報の集約や名寄せ作業を効率化できる
これまで、企業や部門を超えて取引情報などを共有・連携するとき、コードの変換や人手による企業名での名寄せ作業が必要でした。法人番号があれば、取引先などの企業情報に、取引先の法人番号を紐付けて管理することによって、分散する取引情報を効率良く集約することができるようになるのです。

②新設事業者への営業の効率化
現状では、新規の営業先を探すために、登記所や信用調査会社の情報を入手するなどの手間やコストがかかっています。しかし、今年10月以降に設立登記される法人については「法人番号指定年月日」による絞り込み検索が可能になるので、効率的に新規設立法人を見つけることができるようになります。

③新規取引先の実績・資格確認の簡素化
「マイポータル」の法人版が稼働すれば、資格許認可や行政処分/勧告、表彰実績や補助金交付実績などの情報がオープンデータとして集約されます。
企業が新規取引先にこうした自社情報を求めたとき、新規取引先が自社情報をダウンロードし要求先に送付するだけで、要求元の裏付け調査の手間が省けます。

④柔軟な検索・閲覧
法人等の名称や所在地が変更された場合、利用者が過去の名称や所在地で検索する場合が想定されます。検索条件に変更履歴を記載しておけば、称号や所在地が変更された法人の情報を、変更前の称号や所在地で検索することが可能になります。

この制度が導入されると、経理・人事関係者はマイナンバーを管理する体制をしっかりと整備しておかなければ、あっという間に法律の罰則対象になってしまいます。というのもマイナンバーを他人に教えたり、その情報を漏らしたりすると、法律によって罰せられるようになっているのです。

それもそのはず、ありとあらゆる個人情報を引き出すキーナンバーがマイナンバーなのですから、国としてもこれを簡単に漏えいしてしまうような環境に置かせるわけにはいかないからです。しかし経理・人事ともなると源泉徴収票、支払調書、健康保険に、厚生年金保険被保険者資格所得届など、膨大な種類の書類全てにマイナンバーを使用するため、もちろん漏えいの機会も他の部署よりも格段に多いのです。

例えば、保険関係の書類はAさん、給与関係の書類はBさんというようにして担当を分けていれば、Cさんのマイナンバーを知り得る人間の数が増えていくので、その分情報がどこからか流れていくリスクもさらに増えていきます。各担当者のセキュリティ意識徹底はもちろんのこと、各社のシステム上のセキュリティ対策もしっかりと取っておかなければいけなくなります。

マイナンバーを目的外で利用をしたり、情報を漏えいしたりすると法律で厳しい罰則が科せられます。そのため、マイナンバー制度が利用できるようにコンピューター上のソフトの改修だけで運用の準備が完了するのではありません。正しいマイナンバーの取り扱いとルールと厳格な情報管理ができる体制を構築して、運用することが求められています。
企業内における情報管理と運用の責任者、管理者、担当者など階層別に役割と責任をトップマネジメント層の意思も入れて作成する必要があります。そして、具体的な運用ルールを文書にします。
マイナンバーの情報漏えい防止に関しては、従業員のモラルだけで守れないことは、過去のさまざまな情報漏えい問題をみても明らかです。従業員への啓発や誓約書だけではなく、管理台帳などの事務的運用体制を組織的に行うようにすること、マイナンバーの閲覧、マイナンバーの情報が置かれている場所への部外者や関係者の不要な立ち入り禁止などの物理的な安全措置、および不正なアクセスなどを防止できるようにシステム上の安全措置を講じるようにします。

今回導入されるマイナンバー制度の罰則の中でも一番厳しいのが、故意に漏えいした場合。この場合は4年以下の懲役もしくは200万円以下の罰金が科されます。

また、管理監督責任体制に問題があった場合には、特定個人情報保護委員会が業務改善に関する勧告や命令を行います。
この命令に従わないと、情報漏えいが起こっていなくても、2年以下の懲役もしくは50万円以下の罰金が科されます。
こういったことが起こらないよう、今からセキュリティ対策を行っておく必要があります。

マイナンバーについて定める番号法は、個人情報保護法の「特別法」としての位置づけとなっています。このため、マイナンバーに関しては番号法の規定が個人情報保護法よりも優先されます。番号法では、個人情報保護法よりも厳しい罰則等が定められています。

最大2070万件の顧客情報が流出したとされるベネッセ個人情報流出事件では、委託先が不正な利益を得る目的で個人情報を第三者へ提供したり盗用した場合においても、個人情報保護法ではその行為を罰する罰則は存在しなかったことから、警視庁では不正競争防止法違反（営業秘密の開示・複製）という罰則での逮捕・起訴となりました。

その反省から、今回の番号法では、個人番号利用事務等に従事する者が、正当な理由なく特定個人情報ファイルを提供した場合、4年以下の懲役または200万円以下の罰金または併科という重い刑罰が科されることになりました。

また、マイナンバーの漏洩などに関し、以前の個人情報保護法とは比べものにならないほどの重い罰則が科せられることになりました。

1. マイナンバーへのアクセスログの保存・検証
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、ＵＳＢなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

2. アクセス制御
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。

3. ファイアウォール等を設置
外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。

4. 各PCのウイルス対策・アップデート
各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。

5. パソコンの外部持ち出しにも注意
特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。

6. 情報の取り扱う区域を決めて隔離する
オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。
またそれが難しい倍には、最低限パーテーションなどを設置して区分するようにしましょう。