マイナンバー制度導入で経営者が準備すべきこと

創業手帳

個人番号(マイナンバー)カードの裏面コピーで法律違反?

Fotolia_61655045_S

(2015/05/25更新)

最近Yahoo!トップページなどでも頻繁に目にするマイナンバー制度をご存知でしょうか? 平成27年10月以降、12桁の「個人番号(マイナンバー)」が住民票のある住所宛てに通知されることが予定されています。また、法人に対しては13桁の「法人番号」が通知される予定です。

個人番号は平成25年5月31日公布の「行政手続における特定の個人を識別するための番号の利用等に関する法律」(いわゆる番号法)の規定にもとづき、平成28年1月以降、社会保障・税・災害対策の3分野において利用が開始される予定であり、従業員を雇用している事業者においても社会保障の手続で対応が必要となります。

マイナンバー制度は「行政の効率化」「国民の利便性の向上」「公平・公正な社会の実現」を目的とする社会基盤と位置付けられます。

事業者に過度の事務負担を押しつけるものではありませんが、従業員等の特定個人情報(個人番号等を含む個人情報)を扱う者としての責任を果たすため、また、意図せず違法行為をしてしまわないためにも万全の対応が必要です。

本文を読む


対応は4つのルールを中心に

一口に事業者と言っても業種や業態、規模等は様々です。本稿では、個人事業主やスタートアップ期の法人等、比較的小規模な事業者を念頭に置きつつ、マイナンバー制度への対応を考えてみたいと思います。

小規模な事業者ではマイナンバー制度への対応に、金銭的にも時間的にも過分な事務コストを掛けられないのが実情だと考えられます。

そこで、法律で規定された保護措置やその解釈について特定個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の内容をよく理解し、必要な範囲で効率的に対応することが賢い方法と言えるでしょう。

ガイドラインの内容は「マイナンバー4箇条」とも呼ばれる個人番号・特定個人情報に関する4つのルールに沿って整理すると理解しやすくなります。以下ではその4つのルールについて説明させていただきます。

(1)利用・提供・収集に関するルール

まず、個人番号の利用範囲は、番号法に規定された社会保障・税・災害対策に関する事務に限定されます。したがって、事業者であれば、社会保障及びに関する手続書類の作成事務を処理する必要がある場合に限って、従業員等にその提供を求めることができます。

たとえば、給与の源泉徴収事務の場合、従業員は「扶養控除等申告書」に自分と扶養親族の個人番号を記載して、事業者に提出します。この場合、扶養親族→従業員→事業者→税務署というように個人番号が提供されることになります。

なお、従業員等から個人番号を取得する場合には原則として「番号確認」と「身元確認」が必要ですので、社内の手続を整備する必要もあります。

また、法律で限定的に認められた場合を除き、特定個人情報を収集することはできません。なお、他人の個人番号をメモすること、プリントアウトすること、コピーを取ることは「収集」に当たりますが、個人番号の提示を受けただけでは「収集」には当たりません。

個人番号の使い勝手を良くするため、本人の申請にもとづき「個人番号カード」が交付される予定です。この個人番号カードを身分証明書として使用する際には注意が必要です。

たとえば、従業員以外の者から身分証明書として個人番号カードの提示を受けた場合、表面をコピーすることには問題ありませんが、個人番号が記載されている裏面をコピーすることは社会保障及び税に関する手続書類の作成事務以外での収集になりますので法律違反になってしまいます。

(2)保管・廃棄に関するルール

特定個人情報は、社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限り、保管し続けることができます。

たとえば、雇用等の「継続的な契約関係」にある場合には、従業員等から提供を受けた個人番号を給与の源泉徴収事務や健康保険・厚生年金保険届出事務のために翌年度以降も継続的に利用する必要があるので、特定個人情報を継続的に保管できると考えられます。

逆に、それらの作成事務を処理する必要がなくなった場合で、関連する法令で定められている保存期間を経過した場合には、速やかに個人番号を廃棄又は削除しなければなりません。

(3)委託のルール

事業者が税や年末調整にかかる業務を税理士事務所に依頼しているような場合には、特定個人情報の取扱を「委託」していることになります。

また、クラウドサービスを利用している場合、クラウドサービス業者が個人番号を含む電子データを取扱う場合には番号法上の「委託」に該当します。

このような場合、委託者は、委託先において、自らが果たすべき安全管理措置と同等の措置が講じられるように必要かつ適切な監督を行わなければなりません。

適切な監督というのは、(i)委託先の適切な選定、(ii)委託先に安全管理措置を遵守させるために必要な契約の締結、(iii)委託先における特定個人情報の取扱状況の把握のことを指します。

なお、税理士は専門家として「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」のほか「税理士のためのマイナンバー対応ガイドブック」等にもとづき、個人番号を適正に取り扱う責務を負いますが、事業者も委託者としての自覚を持ち、税理士事務所と意見交換や協議することは有用といえるでしょう。

また、委託先は、最初の委託者の許諾を得た場合に限り、再委託をすることができます。自身が委託を受けているときには、許諾を得ないまま再委託してしまわないように特に注意が必要です。

(4)安全管理措置のルール

個人番号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な安全監督も行わなければなりません。

(ア)基本方針の策定

特定個人情報の保護に関する基本理念を明確にし、法令遵守・安全管理・問合せ・苦情相談等に関する方針を定めることが重要です。なお、基本方針の策定は義務付けられてはいませんが、従業員等への周知・研修を行いやすくなるというメリットがあります。

(イ)取扱規程等の策定

源泉徴収票や支払調書の作成等の事務で特定個人情報等を取扱う場合のマニュアルや事務フローなどの手順を示した文書で、従業員が容易に参照できるようにする必要があります。

(ウ)組織的安全管理措置

担当者を明確にして、担当者以外が特定個人情報等を取り扱うことがないような仕組みを構築することです。

(エ)人的安全管理措置

事務取扱担当者に対する監督・教育のことを指します。「マイナンバー4箇条」を徹底することが重要となります。

(オ)物理的安全管理措置

特定個人情報等の漏えい・盗難等を防ぐ措置で、担当者以外が特定個人情報等を取り扱うことができないような工夫を行うことを指します。具体的には、壁又は間仕切り等の設置、のぞき見されない場所等の座席配置の工夫や、鍵付きのキャビネットに書類を保管することなどが考えられます。

(カ)技術的安全管理措置

担当者を限定するためのアクセス制御を行うことや、ウィルス対策ソフトウェア等を導入し、最新の状態にアップデートしておくことなどを指します。

準備の進め方

個人番号の取得から廃棄までの流れを踏まえ、必要な準備作業について、対処方針を検討する必要があります。対象業務を洗い出し、個人番号利用開始までに、いつまでに何を行うか、スケジュールを項目ごとに検討し、対処方針を組織として決定することが必要です。

たとえば、雇用保険であれば、平成28年1月1日以降に「雇用保険被保険者資格取得届」や「雇用保険被保険者資格喪失届」等を提出する際には個人番号を記載することとなります。

したがって、平成27年10月以降、順次、個人番号の提供を求める必要があります。また、提供を求める際には個人情報保護法に基づき「利用目的の明示」が必要となるため、その手続についても検討が必要です。

主要な検討項目としては「社内規程の見直し」「システム対応」「個人情報の安全管理措置」「社員研修・勉強会の実施」などが考えられます。特に、システム対応が必要な場合にはスケジュール管理が重要になります。

まとめ

このような制度対応においては「完璧を目指すと切りがない」という側面もあります。コンサルタントやシステム業者の中にはこれを商機と見なす向きもあるでしょう。

ただ、ガイドラインでは従業員100名以下の「中小規模事業者」の特例を設ける等、実務への配慮も見られます。杓子定規な対応ではなく、事業規模に応じて柔軟性を持った対応をすることが大切と言えるでしょう。

企業存続が危うくなる? ITだけでは情報は守れない!
マイナンバー制度導入を機に見なおそう!中小企業こそ取り組むべき「コンプライアンス」とは?
「悩める経営者」のための2つのアクション
知らないでは済まされない!マイナンバー対応で重要なこととは?

(監修:信濃橋税理士法人 北川ワタル 公認会計士・税理士)
(編集:創業手帳編集部)

創業手帳

カテゴリーから記事を探す