企業が個人情報を扱う際は、法律に基づいた管理が義務づけられています。とくにマイナンバーに関しては「特定個人情報」という位置づけになり、社員名簿とは別の厳格なルールに沿った安全管理が求められています。
そこで今回は、企業がマイナンバーを扱う際のリスクおよび、正しく管理するための注意点について解説します。
目次
企業でマイナンバーの管理が必要な理由
企業では、社会保障および税に関する書類の作成でマイナンバーが必要です。具体的には以下のようなものが該当します。
・健康保険
・健康保険被扶養者届
・健康保険扶養者届
・厚生年金保険資格取得・喪失届
・雇用保険資格取得・喪失届
・扶養控除等申告書
・退職所得の受給に関する申告書
参考:はじめてのマイナンバーガイドライン(事業者編)|個人情報保護委員会事務局
企業はこれらの書類にマイナンバーの情報を記載し、行政機関及び健康保険組合に提出する必要があります。
マイナンバーはガイドラインに沿って管理する必要がある
企業がマイナンバーを扱う際は、厳格なルールが設けられています。大きく分けると取得・利用・管理・廃棄の4つの手順です。
取得
マイナンバーは、社会保険・雇用保険・税金の手続きを目的とした場合にのみ収集が可能です。その際、企業は従業員に利用目的を明示した上で収集しなければいけません。収集時は以下のいずれかの方法で本人確認が必要です。
1.マイナンバーカード(番号確認と身元確認)
2.通知カード(番号確認)と運転免許証など(身元確認)
3.マイナンバーの記載された住民票の写しなど(番号確認)と運転免許証など(身元確認)
マイナンバーの収集は、正社員だけでなく、アルバイトやパートを含め全ての従業員が対象です。また、源泉徴収事務の関係上、扶養家族のマイナンバーも収集します。その際、マイナンバーカードのコピーや身分証明書を提出してもらう必要はありません。本人確認についても、従業員が個人番号関係事務実施者として扶養家族の本人確認を行うため、事業主による実施は不要です。
利用
マイナンバーの利用は、法律によって「社会保障」「税」「災害対策」の3つに定められています。したがって、これら以外の目的で利用することはできません。
また、グループ企業など複数の会社を持つ場合も、マイナンバーの共有は禁じられています。社員名簿や社員番号は個人情報保護法で共同利用が認められていますが、マイナンバー法の場合、法人から法人、個人から法人など組織を越えたマイナンバーの共有はできないので注意が必要です。
管理
マイナンバー管理では、情報の漏えい、滅失または毀損を防止するために適切な「安全管理措置」を講じることが定められています。企業が講じるべき内容は、主に次の4つです。
1.組織的安全管理措置
| 措置内容 | 具体的な例 |
| 組織体制の整備 | マイナンバーを管理する責任者・担当者を明確にし、組織的な運用を実施 |
| 取扱規程等に基づく運用 | ルールに沿った運用ができているか、チェックできる体制を整備 |
| 取扱状況を確認する手段の整備 | 取り扱い状況を把握するためのチェック方法、記録手段を整備 |
| 情報漏えい事案に対応する体制の整備 | 問題が発生した際の対処方法を整備 |
| 取扱状況把握および安全管理措置の見直し | 定期的な取扱状況の把握および、安全管理措置の見直しを行う体制を整備 |
2.人的安全管理措置
| 措置内容 | 具体的な例 |
| 事務取扱担当者の監督・教育 | 事務取扱担当者に定期的な研修、教育、および監督を実施 |
3.物理的安全管理措置
| 措置内容 | 具体的な例 |
| 特定個人情報等を取り扱う区域の管理 | 入退室管理などでマイナンバーを扱える区域を管理 |
| 機器および電子媒体等の盗難等の防止 | 鍵つき書庫への保管、および電子機器を持ち出す際の厳格な管理体制を整備 |
| 電子媒体等の取扱いにおける漏えい等の防止 | データの暗号化、パスワードによる保護、施錠できる搬送容器などを利用 |
| 個人番号の削除、機器および電子媒体等の廃棄 | シュレッダーおよびデータ削除ソフトなど、復元不可の方法で削除 |
4.技術的安全管理措置
| 措置内容 | 具体的な例 |
| アクセス制御 | マイナンバーへアクセスできる人物を制限 |
| アクセス者の識別と認証 | マイナンバーを閲覧する際、アクセスした人物の識別と認証する仕組みを整備 |
| 外部からの不正アクセス等の防止 | 社内システムを見直し、よりセキュリティの高いウイルス対策ソフトへの入れ替えやログ監視等を実施 |
| 漏えい等の防止 | USB機器などの利用禁止、データの暗号化やパスワードによる保護などを実施 |
廃棄
マイナンバーは、従業員の退職などで事務処理を行う必要がなくなった際、適切な方法で廃棄または削除しなければいけません。ただし、所管法令によって書類の保存期間が設けられているものは、その期間内は保管する義務があります。源泉徴収票や支払調書、扶養控除申告書等は7年と定められており、7年を過ぎた時点で速やかに削除を行います。
また、廃棄方法については「復元不可能にすること」と定められています。例えば紙書類にマイナンバーが記載されている場合は、焼却、溶解、シュレッダーにかけるなどの対策が必要です。電子機器及び電子媒体では、専用のデータ削除ソフトウェアの利用または機器を物理的に破壊するなどで復旧できない状態にする必要があります。
マイナンバー管理におけるリスク
マイナンバーの管理にはさまざまなリスクが伴います。具体的な内容を見ていきましょう。
情報漏えい、流出
マイナンバーのデータを社内ネットワーク内で管理する場合、インターネット接続時に外部からの不正アクセスやウイルス進入によって情報が流出するリスクがあります。また外部だけでなく、どの従業員でもアクセスできる環境下においては、不正コピーや閲覧される危険を伴います。紙書類に関しても同様で、簡単にコピーを作ったり持ち出したりできない仕組みが必要です。
法的罰則
マイナンバーの取り扱いに違反すると、通常の個人情報保護法よりも厳しい罰則が適用されます。例えば、業務に関して知り得た個人番号を自己や第三者の不正な利益を図る目的で提供した場合、または盗用した場合、3年以下の懲役または150万円以下の罰金(併科されることもある)となります。
また、正当な理由なく、業務で取り扱う個人の秘密が記録された特定個人情報ファイルを提供した場合も、4年以下の懲役または200万円以下の罰金(併科されることもある)とされています。
行政処分においても、指導・助言、是正勧告、措置命令、中止命令、報告徴求・立入検査が実施されることになり、措置命令や中止命令に従わない場合は、2年以下の懲役または50万円以下の罰金に処せられる可能性があります。
社会的信用低下
マイナンバーの漏えいは、社会的な信用低下にもつながります。個人情報の中でもとくにマイナンバーについては、個人が一生使い続ける大切な番号です。もしこの番号が流出してしまった場合、メディアで大きく騒がれるだけでなく、取引先からの解約や企業イメージの低下、経営悪化による莫大な損害を被ることも考えられます。事業主及び管理者はこれらのリスクを意識しながら、安全管理措置に取り組む必要があります。
マイナンバーを正しく管理するための注意点
マイナンバーを管理する際は、以下の点に注意しましょう。
情報は1つにまとめる
複数ファイルで管理するなど、情報を分散すると流出するリスクが高まります。例えば、紙書類はコピーや無断転載を禁じ、原本のみで管理することをルール化しましょう。電子データに関しても1か所で集中管理して、簡単にコピーできない仕組みを整える必要があります。
セキュリティを担保する
マイナンバーが記載された紙およびデータは、いずれも十分にセキュリティが担保できる仕組みが必要です。
紙書類等は、鍵つき書庫などに保管しましょう。閲覧の際は専用のスペースを設け、第三者による監視を行える体制も必要です。また管理台帳を用意し、閲覧者や利用時間、利用目的となる書類名を記録するなどして、不正やミスが発生しにくい環境を整えなければいけません。
電子データについても、システム管理者及び担当者はネットワーク環境やウイルスソフトを見直すなどして全体のセキュリティを高める必要があります。閲覧の際も、アクセス制限やログ監視などを行い、全ての操作が記録できる仕組みを整えましょう。場合によっては、マイナンバーの保管場所を社内ネットワークから切り離すことも、セキュリティを高める方法の1つです。
収集~廃棄までを速やかに行える仕組みを整える
企業におけるマイナンバーの取得・利用・管理・廃棄はいずれも重要な業務で、速やかに実行する必要があります。とくに「廃棄」については、従業員によって書類の保管期間が異なるため、管理が煩雑になることが予想されます。処理を円滑に進めるには、収集日や保管期間等が簡単に管理できる専用ツールの利用がおすすめです。
安全に管理するならマイナンバー管理ツールがおすすめ!
マイナンバーは「特定個人情報」と呼ばれ、個人情報保護法における「個人情報」よりも厳格な保護措置が設けられた番号です。企業が取り扱う際は、適切な「安全管理措置」を講じたうえで運用しなければいけません。不正やミスが発生しにくい環境で効率的な管理を行うには、マイナンバー管理ツールの利用がおすすめです。気になる方はぜひ導入を検討してください。
