マイナンバーを企業はどのように管理すればよいのか

2023年11月28日 www.soliton.co.jp より移設

政府主導で推進されている「マイナンバー（個人番号）制度」は、社会保障、税及び災害対策の分野における行政運営の効率化を図り、国民にとって利便性の高い、公平・公正な社会を実現するための社会基盤として導入されました。ここでは、企業がマイナンバーを管理する際のポイントについて段階的に紹介します。

「特定個人情報」として厳格な保護措置が必要となるマイナンバー

企業の個人情報の適切な取扱いという観点からは、「個人情報保護に関する法律」があります。さらにマイナンバー制度については、「マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）」によって「個人情報保護に関する法律」の特例が規定されており、個人番号をその内容に含む個人情報（以下「特定個人情報」といいます。）の利用範囲を限定するなど、より厳格な保護措置が求められています。

例えば、個人情報保護法では、本人の同意があれば個人情報を目的外で利用することができますが、マイナンバー法では原則として、特定個人情報の目的外の利用を禁止しています。

企業がマイナンバーを取り扱う範囲とは

それでは、企業はどのような場面でマイナンバーを取り扱う必要が出てくるのでしょうか。取り扱う範囲については、マイナンバー法で「個人番号利用事務」「個人番号関係事務」として示されています。「個人番号利用事務」は主に行政による事務であり、企業が行う事務は「個人番号関係事務」の方が該当します。この個人番号関係事務は、従業員等を有する全ての事業者にとって対応が必要となる事務です。具体的な内容はマイナンバー法の第九条三項に書かれていますが、簡潔にいうと、事業者が法令に基づき、従業員等のマイナンバーを給与所得の源泉徴収票、支払調書、健康保険・厚生年金保険の被保険者資格取得届等の書類に記載して、行政機関等及び健康保険組合等に提出する事務ということになります。

個人番号関係事務の例

• 従業員から、マイナンバーを記入した健康保険や雇用保険に関する届出を受ける
• 従業員から、所得税法の規定に従って、扶養親族のマイナンバーを扶養控除等申告書に記載して書面の提出を受ける
• 事業者が、講師に対して講演料を支払った場合において、所得税法の規定に従って、講師のマイナンバーを報酬、料金、契約金及び賞金の支払調書に記載して、税務署長に提出する

なお、行政機関等及び健康保険組合は、このようにして企業から提出された書類等に記載されている特定個人情報を利用して、社会保障、税及び災害対策に関する特定の事務（個人番号利用事務）を行うことになるのです。
健康保険組合などを除けば、民間の企業においては、個人番号利用事務を行うことはなく、個人番号関係事務のみを行うことになるわけです。

企業におけるマイナンバー管理のポイント

次に、企業がマイナンバーを管理する上で気を付けなければいけないポイントをいくつか挙げてみましょう。

マイナンバーの利用範囲は限られている

マイナンバーの利用は、原則として、社会保障、税、災害対策の手続きのみに限定されています。たとえば、企業がマイナンバーを社員番号やIDなどに利用することは正しい使用目的から逸脱しており、法律で認められていません。

マイナンバーの利用目的を明示しないといけない

マイナンバーの提供を受ける際、企業は従業員に対して利用目的を明示しなければなりません。就業規則への明記、利用目的を記載した書類の提示など、文書として残すことでトラブルを未然に防ぐ効果も期待できます。

また、企業から別の企業にマイナンバーを渡すことは、マイナンバー法で定められた範囲外の提供にあたるため違法となります。グループ会社間でも別の法人になるとマイナンバーを共有することはできません。他社への出向や転籍をする際も、企業間でマイナンバーを受け渡すことはできず、社員本人がマイナンバーを提供しなければなりません。
なお、個人番号関係事務を他者に委託することは可能です。その際は委託先がマイナンバー法を遵守し、委託者も監督責任を負う必要があります。

マイナンバーの安全管理のためセキュリティ対策が必要

マイナンバーは廃棄されるまで正しく管理しなければなりません。セキュリティ対策製品の設置によって不正アクセスや情報の窃取を防いだり、第三者がマイナンバーの保管場所にログインした場合に備えて2段階の認証を設けたりするなどの対策が効果的です。機密情報をすべて暗号化するなどのセキュリティ対策もデータの盗み取りに効力を発揮します。

特定個人情報の取扱担当者は明確にする

特定個人情報を取り扱う担当者を明確にしておくことも、マイナンバーのガイドラインに記載されています。担当者以外の人間が従業員のマイナンバーを閲覧したり、使用したりできる状態にならないように注意しなければなりません。

特定個人情報を取り扱う担当者には研修を行って、機密保持の遵守を求めます。担当から外れた場合は、業務中に知った個人情報を使用しないよう注意し、違反した際には法的責任が生じることを周知しましょう。

マイナンバーは復元できないように廃棄する

マイナンバーは、社会保障などに関する手続書類の作成事務を処理する必要がなくなり、法令によって一定期間保存が義務付けられているものの期間が過ぎた場合、できるだけ速やかに廃棄や削除をしなければなりません。削除の際、データが元通りに復元できないようにすることがポイントです。

個人情報保護委員会が定めた「特定個人情報に関する安全管理措置（事業者編）」では、「焼却または溶解、復元不可能な程度に細断可能なシュレッダーの利用、個人番号部分を復元不可能な程度にマスキングすること等の復元不可能な手段」・「専用のデータ削除ソフトウェアの利用又は物理的な破壊等」によって廃棄するのが望ましいとされています。

マイナンバーは個人にとってとても重要な情報のひとつであり、悪用のリスクもともなうため、企業側はマイナンバー法を遵守したうえで利用しなければなりません。企業内でのルール作りと周知徹底はもちろん、データの悪用を防ぐためのセキュリティ対策も万全に行いましょう。
個人情報保護委員会が提示するガイドラインを確認し、個人番号関係事務を適切に行うことが企業活動を安全に進めるためのポイントです。上記で紹介した注意点を押さえたうえで、企業はマイナンバーの管理を行いましょう。

監修：社会保険労務士　八木　徹