- ホーム
- 法人のお客さま
- Business Navi 〜ビジネスに役立つ情報〜
- 人事に関する記事
- マイナンバーで企業に必要な対応とは?安全管理措置や中小企業の特例対応も紹介
人事
公開日:2022.11.02
マイナンバーで企業に必要な対応とは?安全管理措置や中小企業の特例対応も紹介
12桁の番号で個人情報を管理する「マイナンバー」。社会保険や税金の手続で使用するためにも、企業はアルバイト、パートを含めた全従業員、およびその扶養家族、税理士等の個人取引先、株主のマイナンバーを収集・管理する必要があります。
マイナンバーには、個人の重要な情報がすべて紐づいていることから、企業の担当者は正しい知識を持って適切に管理をしなくてはなりません。
ここでは、マイナンバーカードについて企業が対応すべきことを中心に解説。知っておくべき安全管理措置、および中小企業(中小規模事業者)の特例対応のほか、マイナンバーをシステム化するメリットについてご紹介します。
マイナンバーの概要と制度の目的
マイナンバーとはどのようなものであり、マイナンバー制度にはどんな目的があるのでしょうか。まずはマイナンバーの概要と制度の目的を確認していきましょう。
住民票を持つすべての人に割り振られたマイナンバー
2015年10月5日に施行されたマイナンバー法にもとづいて、「社会保障・税番号制度」(通称・マイナンバー制度)がスタートし、日本国内に住民票を持つすべての人に12桁の番号が割り振られました。この番号がマイナンバーです。
なお、法人には、1法人につき1つの法人番号(13桁)が指定されています。
私たちが交付通知書(はがき)や通知カード、本人確認書類をもとに交付申請をすると、プラスチック製の「マイナンバーカード」が届きます。マイナンバーカードの表面は顔写真つきで、本人確認書類として利用が可能です。裏面にはマイナンバーが記載されており、マイナンバーの確認が必要なときに使用することができます。
マイナンバー制度の目的
マイナンバー制度の目的は、行政の効率化、国民の利便性向上、公正・公平な社会の実現です。従来、自治体などによるサービスを利用する際には、サービスごとにカードを発行する必要があったり、多くの添付書類が求められたりと、手続が非常に煩雑でした。
しかし、国民一人ひとりにマイナンバーを割り振り、個人に紐づくさまざまな情報を集約することによって、別々の機関で管理されている情報も必要な時に取り寄せることができる「分散管理」という仕組みができました。たとえば、各種行政手続きのオンライン申請、金融機関での口座開設やパスポートの申請などで求められる公的な身分証明などが挙げられるでしょう。
マイナンバーは「社会保障」「税」「災害対策」の3分野における利用が想定されていますが、2021年からは一部医療機関でマイナンバーカードを健康保険証として利用できるようになったほか、運転免許証、国家資格証、学生証などとして利用する計画も進んでいます。なお、2022年9月の時点で、マイナンバーカードの普及率は約5割まで伸びており、現在も普及促進中です。
デジタル改革関連法におけるマイナンバー制度の拡充
2021年5月にデジタル改革関連法が公布されたことに伴い、マイナンバー制度も拡充が図られました。デジタル改革関連法は、デジタル社会の実現に向けた6つの法律を総称するものです。政府は、マイナンバー制度による情報連携の拡充によって、デジタル社会に求められる機能の整備・普及を進めていく方針です。
マイナンバー制度に関して具体的には、下記のような施策が実行されています。
<マイナンバー制度で拡充された施策の一例>
- ・医師免許等、国家資格に関する事務手続にマイナンバーが利用できるようになった
- ・マイナンバーカードの機能(電子証明書)をスマートフォンに内蔵するシステムの開発が進んでいる
- ・非常時の給付金などをすみやかに受け取れるよう、マイナンバーとともに口座を登録する仕組みが創設された
- ・預貯金者の同意を得た上で、一度に複数の金融機関の口座にマイナンバーを付番できる仕組みや、相続時や災害時に預貯金口座の所在を確認できる仕組みなどが創設された
マイナンバー制度で企業が対応すべきこと
マイナンバー制度の施行によって、企業には従業員のマイナンバーの適切な管理が求められるようになりました。源泉徴収票や支払調書の発行、雇用保険の手続、税の手続きなどに際して、企業と従業員のあいだでマイナンバーのやりとりが必要となり、企業はマイナンバーの管理が必要になったからです。
マイナンバーには、国民一人ひとりの重大な個人情報が紐づいているため、社員名簿などより一段上の徹底した管理が義務づけられる「特定個人情報」に位置づけられており、万が一漏洩した際には罰則が科せられます。加えて、社会的信用の失墜や損害賠償に発展するリスクもあるため、企業は徹底した安全管理に努めなくてはなりません。
それでは、企業は具体的にどのような対応をとればいいのか、くわしく確認していきましょう。
取扱規程の策定
まずは、マイナンバーに関する規程を整備します。法律を順守し、従業員の情報を不正利用や思わぬ被害から守るために、必ずやっておくべきプロセスです。
取得・収集
マイナンバーの利用目的を通知・公表した上で、従業員や従業員の扶養家族のほか、税理士等の個人取引先、株主などからマイナンバーを取得・収集します。
番号・身元確認
企業は、人違いやなりすましを避けるため、必ず「番号確認」と「身元確認」を行って本人であることを確認する必要があります。個人番号カードを持っている人は個人番号カードのみ、持っていない人は通知カードと運転免許証等の顔写真つき証明書が原則として必要です。
利用・提供
マイナンバーは、法律で定められた「社会保障」「税」「災害対策」の範囲においてのみ利用できます。収集時には本人に利用目的を提示する必要があり、企業はそれ以外の目的でマイナンバーを利用することはできません。
保管・廃棄
マイナンバーは事務処理において必要とする限り、企業内で保管し続けることができます。ただし、事務処理の必要がなくなった後は、すみやかにその情報を廃棄・削除しなくてはなりません。
安全管理措置
企業には、マイナンバー収集から廃棄まで、一貫して特定個人情報の漏洩、減失、棄損を防ぐ必要があります。具体的には、下記の4つの安全管理措置に対応することが求められます。
・人的安全管理措置
特定個人情報にふれ、管理する従業員に適切・適正な取り扱い方を教示する。
・組織的安全管理措置
組織全体もしくは特定個人情報ごとの責任者の設定、取扱状況を確認したり、情報漏洩が発生したりしたときの連絡体制の整備、情報漏洩対策、措置の見直しなどを行う。
・物理的安全管理措置
特定個人情報を取り扱う区域、端末等の管理を行い、盗難・漏洩を防止する。
・技術的安全管理措置
特定個人情報へのアクセスのシステム的な制御、OSのアップデート等を行い、外部からの不正アクセスや情報漏洩を防止する。
マイナンバーにおける中小規模事業者への特例的な対応
マイナンバー制度は、会社規模にかかわらず、すべての事業者が対応すべき制度です。ただし、従業員規模が100人以下の場合は、事務作業の負担軽減につながる下記の2つの特例的な対応が認められています。
なお、従業員が100人以下の場合でも、例外はあります。金融分野の事業者やその事業の用に供する個人情報データベース等を構成する個人情報によって識別される「特定の個人の数の合計」が過去6ヵ月以内のいずれかの日において5,000を超える事業者の場合は、特例的な対応は適応されません。
取扱規程等の策定が義務ではない
従業員規模が100人以下の場合は、扱う特定個人情報の量が少ないため、取扱規程の策定が義務ではありません。ただし、保管や廃棄といった情報の取扱ルールの策定や、事務取扱担当者を変更する場合は確実な引継ぎを行い、責任ある立場の者が確認するものとされています。
安全管理措置の特例的な対応
特例的な対応のもうひとつは、安全管理措置への対応です。具体的にどのような特例となるのか見ていきましょう。
・人的安全管理措置の特例内容
人的安全管理措置に関しては、中小規模事業者に対する特例的な対応はありません。前述した一般の事業者と同等の対応が求められます。
・組織的安全管理措置の特例内容
組織的安全管理措置の特例としては、下記のような特例が認められています。
■組織的安全管理措置特例の一例
| 種類 | 内容 |
|---|---|
| 組織体制の整備 | 事務取扱担当者が複数人にわたる場合、責任者と担当者を分ける |
| 取扱規程等にもとづく運用 | 特定個人情報の取扱状況が把握できる記録を保存する |
| 取扱状況を確認する手段の整備 | 特定個人情報の取扱状況を確認するための手段を整備する |
| 情報漏洩等の事案に対応する体制の整備 | 事案が発生した場合に備えて、報告・連絡の体制を作る |
| 取扱状況の把握および安全管理措置の見直し | 責任者が特定個人情報の取扱状況を点検する |
・物理的安全管理措置の特例内容
物理的安全管理措置の特例としては、下記のような特例が認められています。
■物理的安全管理措置特例の一例
| 種類 | 内容 |
|---|---|
| 電子媒体等の取り扱いにおける漏洩等の防止 | 特定個人情報が記載された媒体や書類を持ち出す場合に備え、パスワード設定などの対策を実施する |
| 個人番号の削除、機器および電子媒体等の廃棄 | 特定個人情報の破棄が必要な場合、特定個人情報を削除したこと、媒体を廃棄したことを責任者が確認する |
・技術的安全管理措置の特例内容
技術的安全管理措置の特例としては、下記のような特例が認められています。
■技術的安全管理措置特例の一例
| 種類 | 内容 |
|---|---|
| アクセス制御 | 特定個人情報を扱う機器と、取扱担当者を限定し、さらには機器に標準装備されているユーザー制御機能により情報システムを取り扱う事務取扱担当者も限定する |
| アクセス者の識別と認証 | 同上 |
マイナンバー対応をシステム化するメリット
煩雑なマイナンバー対応は、管理者に大きな負担があります。そこで求められるのが、一連の管理をシステム化することです。マイナンバー対応をシステム化すると、どのようなメリットがあるのかについて見ていきましょう。
手順が標準化され、引継ぎが簡単になる
マイナンバー管理をシステム化すると、情報の収集、管理、活用、廃棄の手順が標準化され、担当者が複数名いる場合も同一の手順で作業を行うことができます。担当者が変更になる場合の引継ぎもスムーズです。
作業ミス防止で適切な管理ができる
マイナンバー管理をシステム化すれば、人力では完璧に防ぐことができないミスを、低減することができるはずです。特に、マイナンバーの使用を終えた後の情報削除や、盗難の防止は企業の社会的責任に直結する部分であり、厳重な管理が求められるため、システム化が望ましいでしょう。
セキュリティの強化ができる
セキュリティについては、政府も「何らかの仕組みを導入して運用することが望ましい」としています。特定個人情報をインターネット等で外部に送信する際には徹底した情報漏洩防止措置が必要であり、これはシステム化でしか対応しきれない部分だといえます。
法令変更に柔軟に対応できる
今後、マイナンバーの用途が拡大するにつれ、順次法令も改正されると考えられます。マイナンバー管理をシステム化すれば、通常、システム(SaaSもしくはパッケージ商品)を提供する事業者が法令変更に対応してくれるため、企業はシステムのアップデートをするだけでスムーズに対応できるでしょう。
企業規模にかかわらず、マイナンバー管理には人事システムや管理専用システムの導入が望ましい
マイナンバー制度において、企業に求められる対応は多岐にわたります。特例措置が定められている中小規模事業者でもその対応は決して容易とはいえず、人手が少なくリソースが限られているからこその課題も多いともいえます。企業規模にかかわらず、マイナンバー管理をするためには、マイナンバー管理機能を持ち合わせた人事システムやマイナンバー管理専用のシステムの導入が望ましいでしょう。
SMBCグループが提供する「PlariTown」は、DX推進や業務効率化などに資する多様なデジタルサービスや、業界ニュース・レポートなどビジネスに役立つ情報を、ワンストップで利用できるプラットフォームです。雇用や社会保険、給与関係書類などのさまざまな手続を電子化できる労務管理クラウドサービスの提供も可能であり、マイナンバー管理機能も活用できます。サービス導入の相談受付やお客さまの業務実態に合わせた提案も実施しており、DX推進をサポートします。
マイナンバー管理に課題を感じている方は、ぜひ「PlariTown」の活用をご検討ください。
(※)2022年11月2日時点の情報のため、最新の情報ではない可能性があります。
(※)法務・税務・労務に関するご相談は、弁護士や税理士など専門家の方にご相談いただきますようお願い申し上げます。