2015年に運用が開始され、少しずつ普及が進んでいるマイナンバー。

そんなマイナンバーに関する法律、通称
「マイナンバー法」
が2021年9月に改正されました。

とくに、企業が保有するマイナンバーを、本人の同意があれば第三者に提供できるよう改正されたことが話題となりました。

マイナンバーは高度な個人情報なため、取り扱いには十分に注意しなければなりません。

適切な管理ができていなかった場合、法律によって、厳しい罰則が科せられます。

法改正をきっかけに、マイナンバーの取り扱いについて、今一度確認する必要が出てきているのです。

この記事では、企業によるマイナンバーの取り扱いについて、企業ができること、管理する際に発生する義務、そして、マイナンバーの管理方法について解説していきます。

マイナンバーと改正マイナンバー法

マイナンバーの取り扱いに関する法律、通称「マイナンバー法」が、2021年9月に改正されました。

この改正によって、マイナンバーを含む特定個人情報を第三者に提供できるようになりました。

つまり、本人の同意があった場合、転職先の企業に、マイナンバー情報を提供することが可能になったのです。

しかし、取り扱いを間違え、情報漏洩などが発生した場合、厳しい罰則が科せられます。

こうした法改正によって、マイナンバーを含め、個人情報の取り扱いについて、企業は再検討する必要が出てきているのです。

企業が行うマイナンバーの取り扱い

従業員のマイナンバーに関する情報について、企業がおこなう取り扱いを整理しておきましょう。

企業におけるマイナンバーの取り扱いは、「取得」「利用」「管理」「破棄」に分けられます。

取得

マイナンバー情報を取得する際は、取り違いのないように、「身元確認」と「番号確認」のダブルチェックによって本人確認をおこないます。

取得時には、マイナンバー情報をどのような目的で使用するのかを、本人に開示する義務があります。

また、取得したマイナンバー情報について、企業は安全管理措置を講じることが、マイナンバー法で義務づけられています。

利用

企業に限らず、取得したマイナンバー情報は「社会保障」「税」「災害対策」以外に利用することが禁止されています。

つまり、会社内において、マイナンバー情報を社員管理に利用することはできません。

企業でできるマイナンバー情報の利用は、社会保障や税金に関わる書類の作成・提出に限られます。

そして、グループ会社での利用について注意しなければならないのが、同じ法人であればマイナンバー情報の共有が可能ですが、法人が異なる場合は、法律で共有が禁止されているという点です。

派遣会社については、派遣元がマイナンバー情報を管理しており、派遣先の企業が情報を取得し利用することはできません。

管理

企業がルールに則って収集したマイナンバーの情報は、法律で定められた用途に利用する目的のために保管することが認められています。

つまり、「社会保障」「税」「災害対策」以外のために保管することはできません。

マイナンバー情報を保持する企業には、情報漏洩や不正利用を防ぐための安全管理措置を講じることが義務づけられています。

マイナンバー情報の保有期間については、明確なルールはありませんが、目的の済んだものに関しては、速やかに破棄することが望ましいです。

破棄

用途の済んだマイナンバー情報については、なるべく手早く処理する必要があります。

このとき、マイナンバーだけでなく、マイナンバーに関わる情報は、すべて破棄の対象となります。

なお、マイナンバー情報を含む書類のうち、一定期間の保管が法律で義務づけられている書類については、その期間のほうが優先されます。

定められた保管期間が過ぎた書類は、速やかに破棄しましょう。

企業に義務づけられる安全管理措置

マイナンバー法では、マイナンバー情報を保有する企業に対して、安全管理措置を講じることが義務づけられています。

この安全管理措置には「安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4種類があります。

企業には、これらのうちどれかではなく、すべての措置をおこなう義務があります。

組織的安全管理措置

組織的安全管理措置とは、マイナンバー情報を含む重要な個人情報を、適切に管理することができる組織作りのことを指します。

具体的には、マイナンバー情報を扱うことのできる部署や人員を定めて、それ以外の範囲にいる人がその情報に触れることができないよう定めるなどの措置があります。

この措置では、担当の人員が、マイナンバー情報を「いつ・どのよう・どのような目的で」扱ったのか、正確な記録を残す必要があります。

ここで注意しなければならないのが、この利用記録の中にマイナンバー情報を記載してはいけないということです。

組織的安全管理措置は、こうした対策を講じたうえで、措置が有効であるか、改善点はないか、定期的に検証することが望ましいです。

人的安全管理措置

組織的安全管理措置によって、マインバー情報の担当となった人員に対して、情報の扱いについての教育を行う必要があります。

マイナンバーのような重要な情報を、適切に運用するために、研修をおこなったり、講習会に参加したりといったことが大切となります。

加えて、運用に関するマニュアルの作成も重要な措置です。

物理的安全管理措置

物理的安全管理措置では、担当者以外がマイナンバー情報に触れることができないように、物理的な対策を講じます。

ここでは、マイナンバー情報を扱う部署や部屋に担当者以外が立ち入れないようにするなど、マイナンバー情報が記録されている書類やPCの盗難防止策を打つ必要があります。

また、マイナンバー情報と、それを含む書類の破棄に関する記録を残すことも、物理的安全管理措置として定められています。

技術的安全管理措置

不正アクセスなどによる情報漏洩を防ぐために、セキュリティ対策をする必要があります。

セキュリティ対策は物理的安全管理措置とは別に、技術的安全管理措置と呼ばれます。

マイナンバー情報の暗号化や、定期的なパスワードの変更が不可欠となります。

さらには、もし不正アクセスが発生した場合に備えて、アクセス記録を保存するなどのネットワークフォレンジックなどの対策が技術的安全管理措置に含まれ、広く推奨されています。

マイナンバーの管理方法

マイナンバー情報は重大な個人情報なので、適切な管理が求められます。

では、どのような管理の仕方があるのでしょうか。

ここでは、マイナンバー情報の管理方法について、見ていきましょう。

エクセルでの管理

通常の人事情報や社員管理などと同様に、マイナンバー情報をエクセルで管理すするという方法です。

エクセルをはじめ、表計算ソフトは、導入コストが低く、操作になじみやすいというメリットがあります。

ですが、一般的に、表計算ソフトでマイナンバー情報を管理することは推奨されていません。

理由としては、表計算ソフトのセキュリティの低さがあげられます。

たとえファイルにパスワードをかけていたとしても、簡単に突破されてしまうことは少なくありません。

表計算ソフトによる管理には、情報漏洩の大きなリスクがつきまといます。

現在も小規模の現場を中心に活躍するエクセルですが、組織の規模に関わらず、マイナンバー情報をエクセルで管理することは難しいのです。

クラウドでの管理

現在はさまざまなクラウドサービスが登場しているため、情報管理の方法として、クラウドサービスを利用するというのが主流になりつつあります。

マイナンバー情報についても同じで、実際、マイナンバーの管轄である総務省も、クラウドを用いて、国民のマイナンバーを管理しています。

企業がクラウドサービスを利用する利点として、あらかじめサービス運用会社がセキュリティ対策を講じているということがあります。

不正アクセスをはじめとするサイバー攻撃は日々進歩しているため、管理システムもアップデートする必要があります。

自社でそうしたことを行おうとすると、膨大なコストがかかりますが、クラウドサービスでは、多くの場合、そうしたことが始めからサービスに含まれています。

注意しなければならないのは、外部企業が提供するクラウドサービスを利用して、マイナンバーを管理する場合、法律上は、その企業に管理を委託するという形になります。

そのとき、クラウドサービスを利用する企業には、サービスを運営する企業に対する「監督義務」が発生します。

この「監督義務」とは、サービス運用会社が安全管理措置を講じているかを監督する義務を指し、個人情報保護法で定められています。

クラウドサービスを利用してマイナンバー情報を管理するのならば、サービスの選定と同時に、監督義務についても注意する必要があります。

マイナンバー管理システム

マイナンバーが少しずつ普及するにつれて、マイナンバー管理専用のクラウドシステムが登場しています。

そうしたマイナンバー管理システムの特徴は、取得から破棄までのプロセスを、マイナンバー法に則って、クラウド上で完結できることです。

マイナンバーの取り扱いについては、制度が複雑で、処理も煩雑になりがちですが、専用のシステムを利用することで、マイナンバー管理にかかるコストを削減することができます。

大企業ではすでに、マイナンバー管理システムの導入が進んでおり、今後いっそう普及していくでしょう。

マイナンバー管理システムならAMELAに相談を

今回は、マイナンバーの企業における取り扱いについて見てきました。

マイナンバーを現在エクセルで管理している企業は、早急にシステム化をすることをおすすめします。

個人情報の扱いは、年々厳しくなっていますが、システムであれば、簡単に最新の管理方法を実現することが可能です。

システムの開発や導入に関しては、是非AMELAにご相談下さい。

業界の最新システムの動向のチェックや、最新の法律に基づいたシステム開発をしております。