企業のマイナンバー管理について解説!方法や注意点を紹介
2024.08.23
企業は社会保険や税に関する手続きのため、従業員のマイナンバーを収集します。マイナンバーは個人情報に結びついているため、厳格な管理が必要です。本記事では、マイナンバー管理の流れから注意点、システム利用のメリットなどについて、幅広く解説します。
目次
製品の詳細を知りたい方はこちら
マイナンバーとは?
マイナンバーとは、行政を効率化するために発行される、12桁の個人ナンバーのことです。マイナンバーカードに関連するシステム開発や運用などを行う地方公共団体情報システム機構(J-LIS)の「マイナンバーカード総合サイト」では、「マイナンバーとは行政を効率化し国民の利便性を高め公平公正な社会を実現する社会基盤です。住民票を有するすべての方に1人1つの番号をお知らせして、行政の効率化、国民の利便性を高める制度です」と説明されています。
マイナンバーは、日本に住み、住民票を持つ人に交付されます。外国人でも同様です。行政の効率化や国民の利便性向上を目的に制度化されたもので、原則として、国民一人ひとりが同じ番号を生涯使い続けます。
社会保障、税、災害対策の3分野で、それぞれの個人情報が同じ人物のものであることを確認するために使われます。共通の番号を使用するのは、確認を迅速かつ確実に行うためです。マイナンバーの利用は、マイナンバー法により、この3分野を主とする手続き以外には認められていません。
参考:地方公共団体情報システム機構「マイナンバーカード総合サイト」
企業におけるマイナンバー管理の目的
前出の3分野のうち、企業でマイナンバーの管理が必要となるのは社会保障と税の2つです。社会保障に関する手続きには、以下のようなものがあります。
- 健康保険被扶養者(異動)届
- 健康保険・厚生年金保険被保険者資格取得届
- 雇用保険被保険者資格取得届
税に関する手続きとして主なものは、以下のとおりです。
- 源泉徴収票
- 扶養控除等(異動)申告書
- 退職所得の受給に関する申告書
企業は、これらの手続き書類に従業員のマイナンバーを記載して、行政機関や健康保険組合などに提出します。ただし、従業員による企業へのマイナンバーの提出は任意です。企業が強制して提出させることはできません。
関連記事:社会保険料の計算方法って?事例や注意点まで細かく解説
マイナンバー管理を怠るとどうなる?
企業がマイナンバーの管理を怠ると、情報漏洩や目的を逸脱した不正利用などの問題が起こる可能性があります。マイナンバーは重要な個人情報であるため、管理には十分な慎重さが必要です。マイナンバーが流出してしまった場合、以下のようなリスクが考えられます。
- マイナンバー法に基づく罰則
- 社会的信用の低下
マイナンバー法は特別法として個人情報保護法より優先され、罰則も重い点が特徴です。企業が正当な理由なく、マイナンバーの記載された書類などを外部に流出させた場合、4年以下の懲役もしくは200万円以下の罰金、またはこれらの両方が科されます。
ここで、「4年以下の懲役」となっているところがポイントです。刑法では、3年を超える刑罰には執行猶予を付けられないと決められています。悪質だと認定されて懲役4年の判決を宣告されると、初犯であっても実刑を受けることになります。この法律の罰則の重さがうかがわれる一例です。
脅したりだましたりするなど、不正な方法でマイナンバーを収集した場合には、3年以下の懲役もしくは150万円以下の罰金です。自身や第三者の利益のためにマイナンバーを外部に提供した場合も、同じく3年以下の懲役もしくは150万円以下の罰金に処されます。
罰則を受けたり、マイナンバーが漏洩する事態に至ったことを公表したりすることにより、企業や従業員の社会的信用が低下することも、懸念点の一つです。1人分であってもマイナンバーの流出があると、企業の経営を揺るがしかねません。マイナンバーに関する従業員教育も重要です。
企業におけるマイナンバー管理の流れ
企業においてマイナンバーを管理しなければならないのは、収集・取得、利用、保管、廃棄の4つのフェーズです。この項では、収集・取得から廃棄までの一連の流れを解説します。
1.マイナンバーの収集と取得
収集・取得とは、マイナンバーを従業員から提出してもらうことです。収集・取得は、一般的には従業員と雇用契約を結ぶのと同時に行います。企業には、マイナンバーの使用目的を明示して取得することが義務付けられています。
間違いは許されないため、本人確認を行うことは必須です。本人確認は、原則としてマイナンバーカードで行います。マイナンバーカードを持っていない場合は、マイナンバー通知カードやマイナンバーが記された住民票に、運転免許証やパスポートなど顔写真付きで住所と氏名が記載された公的な書類を添付して提出してもらい、確認します。
正社員だけでなく、アルバイト従業員も、収集・取得の対象です。従業員の扶養家族については、マイナンバーと本人確認は不要です。
2.マイナンバーの利用
前述のとおり、企業でのマイナンバーの利用は原則として、社会保障と税の2分野に限られます。マイナンバーを社員番号の代わりに使うなどのやり方は、認められません。他企業との共有はできず、同じグループ内の企業でも別法人である場合は、共同利用は禁止されています。グループ内で従業員を出向させるようなケースでは、注意が必要です。
派遣社員のマイナンバーを、派遣先企業が取得したり、利用したりすることはできません。企業がマイナンバーの収集・取得や利用をできるのは、自社の従業員のみです。派遣社員については、派遣元の企業で各種手続きを行います。マイナンバーを手続きに利用した際には、記録を付けなくてはなりません。マイナンバー関連の業務は、通常の人事業務とは異なる点があり、業務は煩雑になりがちです。
3.マイナンバーの保管
マイナンバーの保管に関する原則は、「必要があるときだけ保管が可能」で、必要がなくなったら廃棄しなくてはなりません。企業は、社会保険や税に関する手続きで書類を作成するなどの必要がある場合に限って、保管が可能です。
手続き関連の書類のうち、法律で保管期間が定められているものについては、その期間、厳重に保管します。保管期間の一例は、以下のとおりです。
- 税関係(給与所得者の保険料控除申告書など)…………7年
- 雇用保険関係(雇用保険被保険者資格取得届など)……4年
- 労災保険関係(遺族補償年金支給請求書など)…………3年
- 社会保険関係(被保険者資格取得届など)………………2年
マイナンバーを正しく保管するためには、事前に利用規約を整備しておくことが重要です。利用規約には、マイナンバーの利用範囲や、取り扱い事務の担当者などを示しておきます。マイナンバーの保管は、すべてを書類で行うやり方のほか、データやシステムで保管する方法もあります。情報漏洩対策や費用対効果、運用の容易さなどを考慮して、自社に合った保管方法を選んでください。
4.マイナンバーの廃棄
法定の期間を経過したり、従業員が退職したりするなどして、マイナンバーを保管する必要がなくなった場合は、速やかに廃棄または削除しなければなりません。保管期限が定められていない書類などについては、扱いは実質的に企業側に委ねられています。
書類であればシュレッダーにかけたり、溶解したりする処理を取ります。データで保管していた場合は、復元が不可能な方法で削除し、情報漏洩が起きないようにすることが必要です。データ削除を外部業者に依頼した際は、業者に証明書を発行してもらい、保管しておきます。
マイナンバー管理に必要な6つの措置
企業が行うマイナンバーの管理には、情報漏洩をさせないため、安全管理措置の徹底が義務付けられています。具体的な安全管理措置の内容は、2つのルールの策定と、4つの措置の実施です。2つのルールには、以下が定められています。
- 基本方針の策定
- 取扱規程等の策定
4つの措置は以下のとおりです。
- 人的安全管理措置
- 組織的安全管理措置
- 技術的安全管理措置
- 物理的安全管理措置
これら2つのルールと4つの措置について、詳しく解説していきます。
1.基本方針の策定
企業がマイナンバーを取り扱うにあたって、骨格に相当する基本方針をまず策定します。基本方針は、マイナンバーの適正な取り扱いの確保に、組織として取り組む姿勢を示すものです。
基本方針の策定は任意であるため、策定しないことも可能ですが、リスク管理や社会的信頼性の担保などの観点から、策定しておくことをおすすめします。基本方針が策定されていることにより、実務担当者が迷ったときに立ち返れる道標となる役割も持たせられます。
基本方針の具体的な内容は、以下のとおりです。
- 企業名
- 関係法令・ガイドラインを遵守すること
- 従業員の適切な監督など安全管理措置に関する事項の周知
- 問い合わせや苦情処理の窓口、担当者など
これらを書面にまとめます。
2.取扱規程等の策定
取扱規程は、事務の流れを整理し、マイナンバーの具体的な取り扱いを定めるものです。これにより、マイナンバーの取得から廃棄に至るまでの過程における5W1H(誰が、いつ、どこで、何を、どのように)を明確にします。
取扱規程の策定は、従業員数100人超の企業に義務付けられており、具体的な事務フローの作成が必要です。具体的な内容の例を以下に示します。
- マイナンバー管理の組織体制、責任者
- マイナンバー収集・取得と確認の方法
- 情報漏洩対策
- 作成した書類を行政機関に提出する方法
- 保管する書類やデータの取扱方法
- 不要となった書類やデータの廃棄方法
取扱規程には、以下の項で解説する4つの措置を盛り込むことが必要です。
3.人的安全管理措置
人的安全管理措置は、マイナンバーの管理に携わる従業員の育成と、監督について定めたものです。企業は、マイナンバーの適正な取り扱いのため、以下の安全管理措置を定めるよう求められています。
- 事務取扱担当者の監督
- 事務取扱担当者の教育
自社の従業員がマイナンバーを流出させてしまった場合、本人だけでなく、企業もマイナンバー法違反で処罰される可能性があります。法制度を十分に理解した担当者を育成する意味で、教育は重要です。手法としては、従業員に定期的な研修を受けさせることなどが考えられます。
企業の管理体制が脆弱だと、不正が起こる可能性も高まります。教育とあわせて、実務担当者の監督にも注力が必要です。
4.組織的安全管理措置
組織的安全管理措置は、マイナンバーを取り扱う組織体制の整備や、取扱規程に基づく運用などを定めたものです。具体的には、以下のような例が挙げられます。
- マイナンバーを取り扱う責任者の設置と責任の明確化
- 事務を取り扱う担当者とその役割の明確化
- 取扱規程に違反する事実を発見した場合の連絡体制
- 人的ミスの発生を防止するための確認体制の整備
実務上、責任者や監督者が多くなりすぎると、責任の所在があいまいになったり、連絡系統がわかりにくくなったりするなどの弊害が生じかねません。責任者や監督者を増やしすぎず、少数精鋭型の組織運営とした方が効率性は向上します。
トラブル時の対応を決めておくことも重要です。いざ問題が起こってから対応しようとするのでは、右往左往するばかりとなりかねません。情報漏洩が発見された場合の対応責任者を決めておき、対応策とともに連絡体制を従業員に周知しておくのが一般的です。
トラブル対応は初動を素早く、間違いなく行うことが大事です。マイナンバーの流出は、企業の社会的な信頼性を損なう可能性もある重大な事態であり、トラブルの影響範囲を最小限にとどめることが求められます。
5.技術的安全管理措置
技術的安全管理措置は、マイナンバーを取り扱う機器やネットワークに関するセキュリティ対策を意味しています。主な対策は以下のとおりです。
- アクセス制御
- アクセス者の識別と認証
- 不正アクセスの防止
- 漏洩の防止
マイナンバーを扱うことのできる担当者や端末を限定することにより、アクセスを制御します。IDなどにより、マイナンバーにアクセスした従業員が特定できるようにすることも必要です。
外部からの不正アクセスの防止には、社内システムやネットワークを見直し、よりセキュリティ性の高い環境を構築することなどが考えられます。漏洩を防止するための施策としては、ウィルス対策ソフトの導入や、ファイヤーウォールの構築による不正アクセスの遮断などが一般的です。
企業によっては、社内の技術部門や外部ベンダーとの協力が必要になるケースもあるでしょう。
6.物理的安全管理措置
物理的安全管理措置は、マイナンバーを閲覧できるパソコンを持ち去られないようにするなど、物理的な情報漏洩対策を指します。主な事例は以下のとおりです。
- 管理区域の設定
- 機器の盗難防止措置
- マイナンバーの削除と廃棄
管理区域の設定とは、マイナンバーを保管してあるサーバー類を置く区画の入退室管理を厳格にするなどの措置をいいます。機器の盗難防止は、パソコンを施錠できるロッカーにしまう、ワイヤーケーブルで固定するなどの物理的な対応です。
不要になったマイナンバーを速やかに削除、廃棄することは、重要な安全管理対策に位置づけられます。USBメモリーなどの外部記憶装置の使用を禁止したり、データを暗号化したりすることも、一般的に採られる安全管理措置です。
マイナンバー管理における注意点
マイナンバーは、目的外のことに利用したり、流出したりしないよう厳重に管理し、慎重な取り扱いをする必要があります。この項では、マイナンバーの管理における注意点を解説しました。
セキュリティ対策を講じる
マイナンバーの管理にあたっては、どのようにセキュリティ対策を講じるかが重要です。書類で保管する場合には、施錠できるスペースがないこともあり得ます。そうした場合には、マイナンバーを含む情報をデータ化し、システムで管理する方法がおすすめです。
システムで管理すれば、それだけで安全というわけではありません。データにアクセスできる人数が増えるほど、漏洩のリスクは高まります。担当者の数は、できるだけ絞る必要があります。総務部、人事部、法務部など各部署に担当者がいるようなケースでは、部署ごとに利用目的を明確化し、それ以外ではデータにアクセスしないというルールの設定が有効です。
書類で保管する場合でも、データ化するとしても、閲覧の記録を取っておくのも必要な措置です。書類の場合はキャビネットの解錠記録を、システムならログを取るようにします。紙の書類であれ電子データであれ、「いつ、誰が、何の目的で、どのように」アクセスしたかが明確になるようにすることが、セキュリティ対策として肝心です。
取得から廃棄までの業務は速やかに行う
不要になったマイナンバーを速やかに廃棄しなくてはならないことは、前述しています。その際は、復元できないようにして廃棄します。不要なマイナンバーを意味なく保管し続け、それが流出してしまうようなことがあっては目も当てられません。取得から廃棄までの業務は、迅速に行うことが重要です。
書類やデータによっては、法定の保管期間があり、それぞれに異なる場合もあるため、廃棄業務が煩雑になることも考えられます。マイナンバーの廃棄に関するルールを作り、遵守するよう徹底することが必要です。
マイナンバー管理にシステムを活用するメリット
マイナンバーを書類で管理するには、場所やセキュリティ対策などの課題があります。システムを活用すれば、こうした問題に頭を悩ますことは少なくなるでしょう。システムを使うことにより、書類を格納するスペースは必要なくなります。データの暗号化やファイアウォールの構築などにより、高いセキュリティ性も確保できます。
セキュリティ以外の面では、マイナンバーの取得や帳票発行などの事務作業が効率化できる点がメリットです。本人確認や未提出者のチェックなどは、パソコン画面上でできます。利用目的を一斉メールで通知することなどもできるため、担当者が時間を有効に使え、生産性の向上にもつながるでしょう。
関連記事:【最新】マイナンバー管理システムのおすすめは?選び方やメリット・デメリット紹介
人事統合システム「ADPS」がマイナンバー管理業務をサポート
カシオヒューマンシステムズ株式会社が提供する人事統合システム「ADPS」は、1990年の登場以来、累計5000社を超える導入実績を持ちます。マイナンバー管理にも対応した高度なセキュリティ機能を持ち、人事業務をトータルでサポートできる点が特徴です。
豊富な導入実績で得られた業務ノウハウをパッケージに反映しているだけでなく、企業独自の要望にも対応できる柔軟性を備えています。シンプルな操作画面で使いやすく、複数人での連携作業にも適したオールマイティなシステムです。
製品の詳細を知りたい方はこちら
まとめ
企業は、社会保険や税の手続きを行うため、従業員のマイナンバーを収集・取得し、法定期限まで保管しなくてはなりません。マイナンバーは個人情報に紐づくセンシティブなデータであり、漏洩や流出のないよう注意を払う必要があります。マイナンバーの管理にシステムを活用することで、紛失や流出のリスクを低減でき、事務作業の効率も向上可能です。システムをうまく使って、安全で確実なマイナンバーの管理を実現してください。
製品の詳細を知りたい方はこちら
カシオヒューマンシステムズコラム編集チームです。
人事業務に関するソリューションを長年ご提供してきた知見を踏まえ、
定期的に「人事部の皆様に必ず今後の業務に役立つ情報」を紹介しています。