マイナンバーは何年保管する？また破棄するときの注意点とは？？

2016年1月からマイナンバー制度が開始されます。マイナンバー法（番号法）は個人情報保護法の特別法として位置づけられていることから、情報流出のした場合の罰則は個人情報保護法よりも重い罰則が設けられています。情報流出を未然に防ぐため、今回はマイナンバーを取得した後の段階の話である、保管、管理、廃棄時についての注意点について見ていきましょう

マイナンバーが記載された書類は、
カギがかかる棚や引き出しに保管しましょう。

ウィルス対策ソフトを最新版にするなど、
セキュリティ対策を行いましょう。

退職や契約終了で従業員のマイナンバーが必要なくなったら、
確実に廃棄しましょう。

取得した個人番号情報および本人確認のための書類等の保管には、

「物理的」
「技術的」な
安全管理措置を講じましょう。

具体的には、個人番号を取り扱う作業は指定された場所で行う、PCの盗難防止対策やセキュリティ対策を行う、書類棚を施錠する、等になります。

特定個人情報の保管制限

法律で限定的に明記された場合を除き、特定個人情報を保管してはなりません。
特定個人情報の廃棄

法律で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄又は削除しなければなりません。

特定個人情報の保管期間には保管制限があります

特定個人情報はマイナンバー法で利用目的を明示した上で収集し、必要がある限り保管し続けることができます。個人番号カードの有効期間は10年（※20歳未満については5年）ですが、番号そのものは原則として生涯唯一の番号として取り扱うことになっています。何度も収集する手間を省くために、事務手続きで必要な限り保管し続けることができるとしています。

マイナンバーのガイドライン内では「保管し続けることができる」という表現で、実質的な保管期間を事業者に委ねています。前提として使用しないデータはできるだけはやく廃棄したり削除したりするようにとの保管制限があるからです。

税法上の保管義務は更生の請求手続きや修正申告に準じた期間が設定されています。しかし特定個人情報は証拠証憑としての役割を果たさないため保管する理由がないともいえます。そのため特定個人情報はできるだけ速やかに廃棄するものであるが、保管する必要があれば「保管し続けることができる」と事業者に判断を委ねているのはそのためなのです。

たとえば継続して雇用する従業員のマイナンバーは、源泉徴収税といった税に関する手続きだけでなく、健康保険や雇用保険など社会保険に関しても利用する必要があります。そのため従業員を雇用している限り、保管し続けることができます。

これは休職中の従業員に関しても同様に定義づけることができます。原則として休職は復職を前提としたものですが、休職の内容によっては復職の時期が未定となる場合もあります。復職が未定であったとしても、当該従業員の特定個人情報は引き続き継続雇用の状態であるため、マイナンバー等を保管しておくことによって再度収集する手間を省くことができるのです。また、退職した従業員に対して退職後も支給する給与や賞与がある場合も、源泉徴収票の作成が必要である限り保管し続けることができると解釈することができます。

当該書類に関する所管法令によって一定の保管義務が発生する場合は、その法令に準じる形で保管期間を設けることになります。言い換えれば、一定の保管期間が経った書類に関してはただちに廃棄する必要があるのです。

マイナンバーはその他の関係法令の規定により保管することが求められています。マイナンバーに関する主な書類の保管期間についてみていきましょう。

・扶養控除申告書、配偶者特別控除申告書保険料控除申告書→7年間
・住宅借入金等特別控除申告書→7年間
・源泉徴収票→7年間
・雇用保険関係書類や4年間
・労災関係の書類→3年間
・健康保険・厚生年金保険に関する書類→2年

なお上記の保存期間は書類の保存期間であり、パソコンに入っているデータにはこの期間は適用されません。しかし扶養控除申告書などの税務関係書類についてはデータについてもこの期間が適用されることから、データについても7年間は保存しておきましょう。

マイナンバー、退職７年で破棄　政府が企業向け指針

法人は、帳簿（注1）を備え付けてその取引を記録するとともに、その帳簿と取引等に関して作成又は受領した書類（以下「書類」といい、帳簿と併せて「帳簿書類」といいます。）を、その事業年度の確定申告書の提出期限から7年間（注2）保存しなければなりません。
また、法人が、取引情報の授受を電磁的方式によって行う電子取引をした場合には、原則としてその電磁的記録（電子データ）をその事業年度の確定申告書の提出期限から7年間保存する必要があります。
ただし、その電磁的記録を出力した紙によって保存しているときには、電磁的記録を保存する必要はありません。

個人番号利用事務や個人番号関係事務を行なう必要のなくなった特定個人情報は、できるだけはやく廃棄処分しなくてはなりません。廃棄や削除するために「容易に復元できない手段」で行なうことが重要になります。それではどのような手段が復元不可能な手段となるのでしょうか。

たとえば通知カードや個人情報カードのコピーをとっていた場合は紙媒体で保管していることになります。紙媒体を廃棄するためには焼却や融解が挙げられます。また復元できない程度に細断できるシュレッダーも廃棄手段として有効です。

次にデータで保管している場合を考えてみましょう。特定個人情報データを保存している電子媒体や機器類は、削除専用のソフトウェアを使用することや、物理的に破壊する手段があります。またデータ復元用システムといった専用の装置を用いなければ復元できない場合、容易に復元できない手段だと考えることができます。

さらにマイナンバー制度では廃棄削除するだけでは事足りず、その事実を記録しておく作業も必要となります。廃棄削除に関する内容として、廃棄した特定個人情報の書類名称、部数、担当者名、廃棄手段などを記録します。記録内容にマイナンバーを記載したり転記したりすることのないように注意します。

また取扱件数が多い事業者の場合、委託することも考えられます。廃棄作業を委託した場合、証明書等の発行によって記録とすることが可能となります。

このように、マイナンバーの保管（廃棄）には制限があり、廃棄又は削除を前提として、紙の書類であれば廃棄が容易になるように年限別に管理することなどや、システムであれば、不要となったマイナンバーを削除するための仕組みを構築することなどが望ましいと考えられます。」

例えば、マイナンバーが記載された扶養控除申告であれば、保存期間が７年間となっていますので、７年経過後はきちんと「破棄」を企業としてルーチンワークにしておく必要があるのです（この場合、印刷保管時に工夫するなどの対応も考えられます）。

退職者なども別途管理が必要でしょう。

各論では、マイナンバー（個人番号）を含む個人情報（＝特定個人情報）については、法定の保存期間が過ぎて必要が無くなったら速やかに削除しなければならないことを強調した。中小規模事業者の場合は、「削除・廃棄したことを責任ある立場の者が確認する」ことが求められる。

それ以外の事業者の場合はさらに要件が厳格で、「削除または廃棄した記録を保存する」ことを求められる。実務上は、マイナンバーを含む個人情報を扱う人事給与システムのような情報システムでは、一定期間経過後にマイナンバー部分を確実に削除できる設計にしておく必要がある

マイナンバーを含む特定個人情報は、年ごとや年度ごとにファイリングして「保管」してください。

翌年度以降も継続的に雇用契約が認められる場合や、所官法令によって一定期間保存が義務付けられている場合に
マイナンバーを含む個人情報の保管が認められます。

退職など、マイナンバーを記載する書類の作成が必要なくなった社員の番号は、速やかに廃棄・削除が義務づけられています。一定期間の保管が過ぎたマイナンバーを記載した書類も同様に廃棄が必須です

内閣府ではマイナンバーを含む特定個人情報は、年ごと、年度ごとにまとめて「保管」してください、とあります。保管の仕方は、ファイリング、社内サーバー、クラウドストレージに保存などがありますが、マイナンバーが記載された従業員名簿や、給与明細など、マイナンバーに関するさまざまなファイルや、データをどう保管するかを会社のルールとしてきめなければいけません。

職社員や、期間が終了したアルバイトなどのマイナンバーを含む個人情報は、復元できないレベルでの廃棄・削除が必要です。パソコンや、サーバーに保管されている個人情報は、電子データシュレッダーを使って、特殊なツールでも復元できない状態に完全に廃棄・削除することをお勧めします。