ページの本文へ

Hitachi

株式会社 日立ソリューションズ・クリエイト

セキュリティ 組織に必要なマイナンバー管理対策について解説

組織に必要なマイナンバー管理対策について解説

マイナンバー制度の運用が開始されたのは2016年1月。この日から民間事業者も、従業員の健康保険や厚生年金などの加入手続き、源泉徴収票の作成といった事務を行う中でマイナンバーを取り扱っています。事業者にはどのようなマイナンバー対策=マイナンバーの管理方法が求められているのか、その概要を説明していきます。

マイナンバーとは

マイナンバー(個人番号)とは、「行政手続における特定の個人を識別するための番号の利用等に関する法律(いわゆるマイナンバー法・番号法)」に基づいて、日本国内で住民票を有するすべての人に通知されている、一人ひとり異なる12桁の番号です。12桁の番号を決めて通知するのは住民票を管理する各市区町村です。マイナンバーは生涯にわたって使用する番号で、住所などが変わったとしても番号は基本的に変わりません。

マイナンバーは現時点では、社会保障、税、災害対策の3分野で、複数の機関が保有する個人の情報が同一人の情報であることを確認するために使われています。行政手続きにおけるマイナンバーの利用が開始されたのは2016年1月からです。企業・組織(民間事業者)も2016年1月以降、税や社会保障の手続きでマイナンバーを取り扱っています。

企業・組織に求められるマイナンバーの管理方法

企業・組織がマイナンバーを取り扱うときは、以下のような注意事項を守る必要があります。これらはマイナンバー法によって定められています。

収集(取得)

マイナンバーを含む個人情報(氏名や生年月日その他の記述により特定の個人が識別できる情報)は、「特定個人情報」に該当します。

特定個人情報は取得に際し、「利用目的を特定した通知または公表」と、なりすまし防止のために「厳格な本人確認」を行わなければなりません。

利用目的の通知の方法としては、書類の提示、メールでの通知、社内LANでの通知(社内LAN上のフォルダやツール上で通知書を公開するなど)などが挙げられます。その際、どのような手続きでマイナンバーを利用するのか目的をはっきりと伝えなければなりません。

また、本人確認の方法としては、(1)マイナンバーカードで番号確認と身元確認する、(2)通知カードで番号確認、顔写真付きの運転免許証やパスポートで身元確認する、(3)個人番号が記載された住民票の写しなどで番号確認、運転免許証やパスポートで身元確認する、などの方法があります。

ただし、雇用関係にあるなどの理由で本人に相違ないことが明らかに判断できると個人番号利用事務実施者(主に行政機関)が認める場合は、身元確認を不要とすることも認められます。

利用

企業・組織は社会保障や税に関する手続き書類に従業員などのマイナンバーを記載しなければなりません。具体的には、以下の利用例があります。

・雇用保険関係
雇用保険の被保険者資格取得(喪失)届への記載。

・健康保険・厚生年金関係
健康保険、厚生年金の被保険者資格取得(喪失)届への記載。

・税関係
源泉徴収票、給与支払報告書、支払調書などへの記載。

このうち、源泉徴収票や給与支払報告書の場合は、本人以外に控除対象配偶者および扶養親族のマイナンバーも取得して記載することになります。

保管(廃棄・削除)

企業・組織は、マイナンバーとマイナンバーを含む個人情報(=特定個人情報)を保護するために必要かつ適切な安全管理措置を講じなければなりません。安全管理措置のポイントについては後述します。

また、特定個人情報は必要がある場合だけ保管でき、必要がなくなったら廃棄しなければなりません。廃棄・削除とは復元不可能な状態にすることで、紙の書類なら溶解や焼却、デジタルデータなら削除ソフトによるデータ削除、もしくはデータを記録している記録媒体そのものを物理的に破壊します。

提供

企業・組織は、マイナンバー法で定められた社会保障と税に関する手続きに使用する場合のみ、従業員などにマイナンバーの提供を求めることができます。提供を求める時期は、原則、社会保障と税に関する手続き書類の作成事務が発生した時点です。

マイナンバー安全管理措置のポイント

「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」には、企業・組織が講ずべき安全管理措置の内容として、以下の内容が示されています。

基本方針の策定

特定個人情報の保護に関する基本理念を明確にした基本方針を策定します。法令遵守・安全管理・問い合わせ・苦情相談などに関する方針を定めるのが一般的です。

取扱規定などの策定

源泉徴収票や支払調書の作成など、マイナンバーや特定個人情報を取り扱う際の事務の流れを整理して示した文書(マニュアル)を作成し、従業員が容易に参照できるようにします。

組織的安全管理措置

安全管理措置を講ずるための組織体制の整備、取扱規定に基づく運用状況を確認するためのシステムログや利用実績の記録、特定個人情報ファイルの取扱状況を確認するための手段の整備、情報漏えいなどの事案に対応する体制の整備、取扱状況の把握および安全管理措置の見直しを行います。

人的安全管理措置

事務取扱担当者の監督、事務取扱担当者の教育を行います。

物理的安全管理措置

特定個人情報などを取り扱う区域の管理、機器および電子媒体などの盗難などの防止、電子媒体などを持ち出す場合の漏えいなどの防止、個人番号の削除、機器および電子媒体などの廃棄を行います。

技術的安全管理措置

アクセス制御、アクセス者の識別と認証、外部からの不正アクセスなどの防止、情報漏えいなどの防止を行います。

以上のように、企業・組織は従業員などのマイナンバーと特定個人情報を適正に取り扱い、管理することが義務付けられています。その方法について正しく理解し、対策しましょう。