カテゴリー
個人情報保護

マイナンバー管理のあらまし

Last Updated on 2023年10月31日 by

目次
  1. マイナンバーとは
  2. 取得・利用・提供
    1. 取得
    2. 利用・提供
  3. 保管・破棄
    1. 保管
    2. 破棄
  4. 委託
  5. 安全管理措置
    1. 組織的安全管理措置
    2. 人的安全管理措置
    3. 物理的安全管理措置
    4. 技術的安全管理措置
    5. 中小規模事業者に対する特例について
  6. 個人情報保護法との関係

マイナンバーとは

マイナンバー(個人番号)とは、国民一人ひとりに割り当てられた12桁の番号のことです。

マイナンバーを扱う事業者は、個人情報保護法の特別法であるマイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)に基づいて厳格な取り扱いをしなければなりません。

マイナンバー法では「取得・利用・提供」「保管・破棄」「委託」「安全管理措置」の4つの保護措置を定めています。

取得・利用・提供

取得

目的限定

マイナンバーの取得というのは、マイナンバーを持っている人から提出してもらうことです。マイナンバーは法令で定められた範囲で取得できます。

まず、利用目的を特定して明示しなければなりません。そして、利用目的はマイナンバー法で、社会保障制度、税制、災害対策に限定されています。

本人確認

マイナンバー取得の際は、他人のなりすまし等を防止するため、本人確認を厳格に行わなければなりません。

関連記事:マイナンバーの本人確認

従業員等のマイナンバー

会社等では、マイナンバーを所得税や社会保険の書類に記載する必要があるので、従業員からマイナンバーを提出してもらいます。被扶養者がいればそのかたの分も提出してもらう必要があります。内定者も、入社が確実に予定されている場合は、諸手続の準備のために、入社前に提出を求めることが可能です。

関連記事:従業員マイナンバーの取得管理について

取引先自営業者のマイナンバー

講演料の支払いや税理士や社会保険労務士などへ報酬を支払っていれば相手のマイナンバーを取得する必要があります。また、家賃の支払先なども必要です。株主のマイナンバーも取得する必要があります。

書式:取引先からマイナンバーを提出してもらう書式のサンプル

相手先が法人の場合は法人番号

相手先が個人事業主でなく法人の場合は「法人番号」で手続きします(マイナンバー法第52条~第55条)。法人番号はインターネットで調べることができます。取得に承認はいりません。

利用・提供

事業者は税や社会保障に関する手続書類に従業員等のマイナンバーなどを記載して役所に提出します。利用目的以外の利用・提供はできません。

マイナンバーの利用・提供例

・税関系  源泉徴収票、給与支払報告書、支払調書など
・雇用保険関係  雇用保険被保険者資格取得(喪失)届など
・労災保険関係 遺族補償年金支給請求書など
・健康保険・厚生年金関係 健康保険・厚生年金保険被保険者資格取得(喪失)届など

保管・破棄

保管

会社が、従業員等のマイナンバーを取得し、それを社会保障、税、災害対策の書類に記載するので、会社にマイナンバーとマイナンバーを記載した書類の写し等が保管されています。

マイナンバーの書類は、該当する事務を行う必要がある期間だけ保管しておくことができます。

マイナンバーの保管には、漏えい等を防止するための安全管理が
義務づけられています。

関連記事:マイナンバーの保管

破棄

必要なくなったマイナンバーは破棄しなければなりません。従業員が退職すると、社会保障および税に関する手続書類の作成事務を行う必要がなくなるので、マイナンバーが記載された書類は原則的には廃棄する必要があります。

従業員が退職してからも一定期間は従業員の記録を保存する必要がありますが、その場合は、マイナンバーの部分を削除して「普通の個人情報」として保存して下さい。

また、それぞれの書類には法的な保存期間があるので注意して下さい。

関連記事:書類の保存期間

最終的に廃棄するときは、そのままゴミ箱に捨てるのでなく、シュレッターにかけるなど、確実に廃棄しましょう。

委託

マイナンバー法はマイナンバーに関わる業務の委託・再委託を認めています(第10条)。

ただし、委託先への監督義務があります。委託先を選定する場合、適切なマイナンバー管理ができるかあらかじめ確認しなければいけません。

さらに委託先が委託元の承諾を得て別の事業者に業務委託する場合、委託元に再委託先の監督責任が生じます。つまり、その場合委託元は、委託先だけでなく、再委託先を監督する義務が加わります。

安全管理措置

安全管理措置については、法律上求められている基本的な要素は個人情報保護法と共通していて、ガイドラインが求める個々の安全管理措置についても、基本的に差異がないので、個人情報管理とマイナンバー管理に共通して使える管理規程を作ることができます。

(個人番号利用事務実施者等の責務)
マイナンバー法第十二条 個人番号利用事務実施者及び個人番号関係事務実施者(以下「個人番号利用事務等実施者」という。)は、個人番号の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。

安全管理措置の具体的な内容及び手法例(中小特例含む。)は、ガイドライン(事業者編)で、大きく4つの措置が定められています。いずれも、「講じなければならない」措置です。


主な安全管理措置は次の4項目です。

組織的安全管理措置

特定個人情報を取扱う組織体制を整え、取扱規程を定めて運用します。

具体的には、担当者を明確にし、担当者以外は特定個人情報を取り扱わないようにするなどの仕組み作りを行います。

また、特定個人情報の取扱い状況および利用状況を記録し、確認できる仕組み作りも必要です。

情報漏えいが発生、もしくは疑われる事案が発生した場合を想定した体制作りも求められています。さらに、これらの措置は定期的に見直し、改善に取り組むことが求められています。

規程:マイナンバー管理規程のサンプル

人的安全管理措置

特定個人情報を取り扱う担当者が適正に取扱いできるよう、また継続して適正な運用ができるように、事業者は教育、監督する必要があります。

具体的には定期的に研修会を行う、特定個人情報の取扱マニュアルを策定するなどの対応があります。

物理的安全管理措置

特定個人情報を取扱う区域を設け、事務取扱担当者以外の人が特定個人情報を閲覧できないように物理的な措置を講じる必要があります。

物理的な措置というのは、特定個人情報を取扱う専用の部屋を設け、施錠管理をする、区域を分けて他の従業員が立ち入れないようにすることなどです。

特定個人情報を管理するパソコンや電子媒体などの盗難や情報漏えいを防止する必要があります。

技術的安全管理措置

特定の担当者しかアクセスができないようにアクセス制限を行う、外部からの攻撃による漏えいを防止するためのシステム的な措置を講じる必要があります。

アクセス制限だけでなく、特定個人情報にアクセスした履歴をログとして記録しておくなどの対応も含まれます。

また、特定個人情報等をインターネットなどで外部に送信する場合には、ネットワークの暗号化など、通信のセキュリティー対策を講じる必要もあります。

中小規模事業者に対する特例について

安全管理措置については、従業員の数が100人以下の中小規模事業者(一部の事業者を除く。)に対して、ガイドラインにおいて特例的な対応方法が示されています。

www.ppc.go.jp
特定個人情報の適正な取扱いに関するガイドライン |個人情報保護委員会
https://www.ppc.go.jp/legal/policy/
個人情報保護委員会のホームページです。特定個人情報(マイナンバー)の適正な取扱いに関するガイドラインの(事業者編)や(行政機関等・地方公共団体等編)や個人番号の取得から廃棄までのプロセス等について掲載しています。

詳しくはガイドラインで確認しなければなりませんが、例えば、以下のような点について措置が軽減されています。

基本方針や取扱規定の策定については義務でなく、可能な限り対応することが望ましい。

取扱規定の代わりとして業務マニュアルやチェックリストなどにマイナンバーの取扱について記載することも可能。

事務取扱担当者が複数いる場合は、責任者と担当者を区分し、けん制ができるようチェック体制を作ることが望ましい。

情報漏えい等の事案に対応する体制整備の代わりとして、従業員から責任ある者への報告連絡体制をあらかじめ確認する。

など。

ただし、100人以下であっても、

・マイナンバー利用事務実施者
・委託でマイナンバー関係事務またはマイナンバー利用事務を業務として行う事業者
・金融分野の事業者
・個人情報の個人件数が過去6カ月以内のいずれかの日で5,000件を超える事業者

以上の事業者は、中小規模事業者の特例が適用されません。

個人情報保護法との関係

マイナンバーは「特定個人情報」なのでマイナンバー法が適用されます。ただし、マイナンバーは「個人情報」でもあるのでマイナンバー法と同時に個人情報保護法も適用されます。

関連記事:会社における個人情報の取り扱い

関連記事:個人情報と特定個人情報の違い

会社事務入門>このページ