平成25年10月より交付がはじまったマイナンバーですが、便利な制度である一方、利用の際にはさまざまなルールが法律で決められています。
会社(事業所)で誤った取り扱いをした場合は、会社と従業員の間でトラブルに発展する可能性もあります。
しかし、会社内でマイナンバーの取り扱いルールが決められていないケースも少なくありません。
この記事では、マイナンバー制度の基礎知識から、マイナンバーの収集や保管・廃棄まで、マイナンバーを取り扱う方が知っておきたい注意点をまとめました。
マイナンバーは大切な個人情報です。取扱者は、適正な管理を心がけましょう。
まずは確認!マイナンバーを利用できる範囲
マイナンバー利用の範囲は、マイナンバー法第9条により決められています。
ですから、利用範囲外の者が、他人のマイナンバーを収集・利用するのは、もちろん法律違反です。
マイナンバーを利用できる範囲は、社会保障・税関係・災害対策の分野と限られています。
さらに、社会保障・税関係・災害対策の分野の中でもマイナンバー法9条に記載された事務に限ってマイナンバーを利用することができます。
例えば、会社内で社員の氏名や住所などの個人情報を管理するための社員番号としてマイナンバーを利用することは不可能ですので、ご注意ください。
社会保障や税の事務なら、国や行政で働いていなくてもマイナンバーを取り扱っていいの?と不安がある方もいるのではないでしょうか。
マイナンバーを利用できる事務の種類は3つあるので詳しく解説します。
マイナンバーを利用できる事務:①独自利用事務
地方公共団体(都道府県と市区町村)が条例の元、マイナンバーを利用することとした事務のことを「独自利用事務」といいます。
マイナンバー法第9条第2項より、地方公共団体が、条例というルールを定めれば、地方税や社会保障・防災関連事務等で、マイナンバーを利用することができると定められています。
マイナンバーを利用できる事務:➁個人番号利用事務
国の機関や市町村が、マイナンバーを利用して個人情報を検索・管理することを個人番号利用事務といいます。
また、個人番号利用事務を行う者を「個人番号利用事務者」と呼びます。
マイナンバーを利用できる事務:③個人番号関係事務
行政サービスを受ける人は、年末調整などで会社を通じて、国や市区町村にマイナンバーを記載した書類を提出しますよね。
また、銀行や生命保険会社の金融機関も、契約した際に取引内容により、契約者のマイナンバーを記載して国の機関に提出します。
上記のように、個人番号利用事務に関係があり、事業者が事務に使う書類にマイナンバーを記載し提出することを「個人番号関係事務」と言います。
つまり、会社が従業員が行政サービスを受けるために、マイナンバーを書いた書類を国や市区町村に提出することは「個人番号関係事務」に該当するということですね。
会社がマイナンバー記載の書類を提出する以外にも、従業員が税関係の手続きのために、扶養親族のマイナンバーを書類に記載して、会社に提出することも「個人番号関係事務」に該当します。
マイナンバー収集の主な手段を2つご紹介!
会社や企業は、国や市区町村にマイナンバーを記載した書類を提出するために、従業員のマイナンバーを収集する必要があります。
法律上、マイナンバーの「収集」とは、集める意思をもって自己の占有に置くことを意味します。(番号法大第20条より)
つまり、マイナンバーの提示を受けただけでは「自己の占有に置くこと」には該当しないため、「収集」には当たりません。
- 人から個人番号を記載したメモを受け取ること
- 人から聞き取った個人番号をメモすること等
- 電子計算機等を操作して個人番号を画面上に表示させ、その個人番号を書きとること・プリントアウトすること等
また、従業員からマイナンバーを収集する際は、マイナンバーの利用目的を必ず伝えましょう。
マイナンバーの利用目的の提示は法律で定められています。
マイナンバーの収集手段:①紙媒体
従業員数が少ない会社にとっては紙媒体での収集が簡単な収集方法の1つです。
マイナンバーを確認できる書類を持参してもらいましょう。
なお、マイナンバーカードを保持していない場合には、番号通知カードの他に身分証明書(運転免許書・パスポートなど)、又はマイナンバーの記載された住民票の写しなど(番号確認)と身分証明書(運転免許書・パスポートなど)の提示も必要となります。
マイナンバーが確認できる書類を持参できない時には、紙媒体で郵送してもらう方法もあります。
郵送の場合は、配送途中での紛失の可能性もあり得るので、記録が残る郵送方法がよいでしょう。
また、マイナンバー取り扱い担当者以外が、マイナンバーの書類を郵便で受け取った際の渡し忘れ等のトラブルにも気を付けたいところです。
郵便で届いた書類の管理方法(保管、別媒体に移動等)を社内で定めておくことが推奨されます。
マイナンバーの収集手段:➁メールで送る
紙媒体での収集が難しい場合には、マイナンバーの確認書類をメールで送ってもらう方法があります。
ただし、マイナンバーカードの写真をメールで送ってもらう場合には注意が必要です。
会社(事業者)は、マイナンバーを取り扱う際に「技術的安全管理措置」を講じなければならないと、法律や個人情報保護法ガイドラインで定められています。
マイナンバーカードの情報をメールで送る(送ってもらう)場合は「アクセス制御」の対策が必要です。
アクセス制御とは
情報システムを使用して個人番号関係事務又は個人番号利用事務を行
う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイル
の範囲を限定するために、適切なアクセス制御を行う。
個人情報保護法>マイナンバー>特定個人情報の適正な取扱いに関するガイドラインより引用
アクセス制御をおこなう方法として下記があげられています。
・ 特定個人情報ファイルを取り扱うことのできる情報システム端末等を限定
する。
・ 各情報システムにおいて、アクセスすることのできる特定個人情報ファイ
ルを限定する。
・ ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り
扱う情報システムを使用できる者を事務取扱担当者に限定する。個人情報保護法>マイナンバー>特定個人情報の適正な取扱いに関するガイドラインより引用
つまり、マイナンバーカードの情報をメールで送ってもらう際には、誰でもアクセスできる状態を避けなければなりません。
具体例としてマイナンバー情報のファイルにパスワードを設定する、マイナンバー情報を取り扱うパソコンを決めておく、マイナンバー情報を扱う担当者を決めておくなどの対策が考えられます。
また、メールでのやりとりは誤送信の可能性も考えられるので、マイナンバーをメールで送る(送ってもらう)場合は十分に気を付ける必要がありますね。
マイナンバーの提出を拒否された場合の対策
- 事業所(勤務先)…税や社会保険関係の手続き
- 依頼先(公園等の主催企業など)…報酬・契約均等の支払調書の手続き
- 不動産業者など…不動産仲介料等の支払調書の手続き
- 金融機関など…税関係の支払調書の手続き
- 行政機関など…税や社会保障に関する行政サービスの手続き
マイナンバーの提出先は主に上記の5つになります。
従業員は、勤務している会社(事業者)から法律のルールによって正しくマイナンバーの提供を求められた場合、マイナンバーを会社(事業所)に提出するように国から求められています。
万が一、マイナンバーの提出を拒否された場合は、マイナンバーの正しい知識を認知する必要がありますね。
マイナンバーの利用目的の説明や、個人情報の管理方法を提示するなど、従業員へのマイナンバー制度への理解と信頼を深める対応が求められるということです。
マイナンバーを安全に管理する6つのルール
マイナンバーを利用した事務を行う者は、マイナンバー記載の書類を管理する際に、漏洩や紛失等がないよう、大切に取り扱わなければならないというルールが法律で定められています。
マイナンバーを利用する会社・事業者は「安全管理措置」という取り組みを実施する必要があるのです。
※中小規模事業者(従業員数が100名以下の事業者)については、負担を考えて特例的な対応方法が定められています。なお、中小規模事業者も「安全管理措置」の手法を採用することはより望ましい対応とされています。
安全管理措置は6つの項目があります。
1.基本方針の策定
マイナンバーを大切に取り扱うための基本的な方針を決めることが重要です。
基本方針に定める項目例としては、関係法令やガイドライン等の遵守・安全管理措置に関する事項・質問や苦情処理の窓口などになります。
2.取扱規程等の策定
マイナンバーを利用した事務処理の手順は下記の通りです。
各作業ごとにマイナンバーの取り扱い方を具体的に定めた「取扱規定等」を定める必要があります。
1.取得する時
2.利用する時
3.保存する時
4.提供する時
5.消去・廃棄を行う時
各作業のマイナンバーを取り扱う方法以外にも、作業時の責任者・実務担当者やその役割についても定めておくこととされています。
3.組織的安全管理措置
マイナンバーを取り扱う事業者は下記の5つが求められます。
1.組織体制を整備すること
2.「取り扱い規定等」に従った取り扱いをすること
3.取扱状況を確認するための手段を整備すること
4.情報漏えい等が起きた場合の対応ができる体制を整備すること
5.取扱状況を把握すること
また、マイナンバーを取り扱う事業者には、安全管理措置を常に改善するための見直しが求められ、以上のことをまとめて「組織的安全管理措置」といいます。
4.人的安全管理措置
マイナンバーを取り扱う事業者は、実務担当者を監督すること・実務担当者を教育することをしなければいけません。
また、具体的にどのように監督や教育を行うかを決めておくことが求められています。
上記の2つを「人的安全管理措置」といいます。
人材育成のために定期的な研修なども必要でしょう。
5.物理的安全管理措置
マイナンバーを取り扱う事業者は、下記の4つの項目を決めて実行することが求められます。
1.マイナンバーや特定個人情報を取り扱うための場所をきちんと管理すること
2.マイナンバーや特定個人情報を取り扱うための機器や保存している電子媒体などが盗まれないようにすること
3.マイナンバーや特定個人情報を保存した電子媒体などを持ち出すときに、それらの情報が流出したりしないようにすること
4.マイナンバーを削除したり、マイナンバーなどを取り扱うための機器やマイナンバーなどを保存している電子媒体などを廃棄するときにしなければならないことなど
以上のことをまとめて「物理的安全管理措置」といいます。
6.技術的安全管理措置
マイナンバーを取り扱う事業者は下記の4つの項目を決めて実行することが求められます。
1.当該情報にアクセスできる人を限定すること
2.情報にアクセスできる人を識別して認証した上で、それらの情報を取り扱うこと
3.外部からの不正なアクセスなどを防止すること
4.情報漏えいなどを防止するためにしなければならないこと、など
以上のことをまとめて「技術的安全管理措置」といいます。
メールのやりとりや、パソコンでのマイナンバーの管理は特に気を付けたいですね。
マイナンバー廃棄のルールにも要注意!
マイナンバーを利用した事務を行う必要なくなった場合には、速やかにマイナンバーが記載された書類を破棄、または書類からマイナンバーを消去する必要があります。
書類以外にも、パソコン内にマイナンバーのデータを保管していた場合は、データ復元ができない方法で速やかに消去しましょう。
なお、マイナンバー法ではない社会保障や税関係の法律等で、一定期間の保存が必要な書類は、マイナンバーの記載があっても、定められた保存期間で保管することとなります。
数年後に廃棄する書類には、廃棄予定の年月を大きくメモをしておくと廃棄忘れ防止になりますよ。
まとめ:マイナンバーは基本ルールを知って正しく管理!
1.基本方針の策定
2.取扱規程等の策定
3.組織的安全管理措置
4.人的安全管理措置
5.物理的安全管理措置
6.技術的安全管理措置
→マイナンバーをメールで送る際はアクセス制御が必要です。
マイナンバーは大切な個人情報です。
個人情報のずさんな管理による漏えいや紛失等のトラブルは、会社・従業員・国・行政など多くの人を巻き込んで迷惑をかける事態になります。
会社内でマイナンバーの取り扱いルールをしっかり定めることで、健全な経営・従業員への信頼に繋げましょう。