マイナンバー制度が導入されてしばらく経ちますが、未だに企業ではそのルールについて悩まれていたりします。
この記事ではマイナンバーの管理について、今一度おさらいしてみたいと思います。
マイナンバーとは
今さら説明するまでもないですが、マイナンバーは国から国民全員に付与されている12桁の個人識別番号です。
このマイナンバーの管理に関して、2015年10月にマイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)が施行され、企業は厳重な管理が求められています。
マイナンバー法について
マイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)は、その名の通り、マイナンバー(個人番号・法人番号)の利用範囲や個人情報保護、罰則などについて記された法律です。
第三条には、「個人番号を用いて収集され、又は整理された個人情報が法令に定められた範囲を超えて利用され、又は漏えいすることがないよう、その管理の適正を確保すること。」と明記されております。
企業でも、マイナンバーの適切な管理が必須であることが示されています。
企業でマイナンバーが必要な場面
マイナンバーに関係してくる部署は、主に人事や労務になります。
例えば入退社手続きでは、下記の手続きでマイナンバーが必要となるため、会社またはその委託先(社労士事務所等)がマイナンバーの管理を適切に行う必要があります。
- 健康保険
- 厚生年金保険資格取得・喪失届
- 雇用保険資格取得・喪失届
- 健康保険被扶養者届
- 健康保険扶養者届
- 国民年金第3号被保険者関係届
- 扶養控除等申告書
- 住民税の特別徴収にかかる給与所得者異動届出書
- 退職所得の受給に関する申告書
マイナンバーの管理の方法について
マイナンバーの管理については、個人情報保護委員会による「特定個人情報の適正な取扱いに関するガイドライン」で定められています。
マイナンバーの収集・利用及び管理・廃棄について、それぞれ適切な管理方法が示され、企業は指針に従いマイナンバーの取り扱いを行うこととされています。
マイナンバーの収集について
会社は法律に定められた範囲でのみマイナンバーを収集することができます
収集の際に、なりすましを防ぐために本人確認も必要となります。
さらに、マイナンバーには分離保管の原則があるので、メールでの取得を行い、サーバで他のデータと分離できないまま保管することは不適切とされています。
他のデータとの分離ができる収集方法をとる必要があります。
マイナンバーの利用・管理
社員からマイナンバーに尋ねる場合、利用目的を公表または通知により本人に知らせること、法令で定められている範囲の利用を行うことが重要なポイントとなります。
利用目的を変更する場合、当初の利用目的と関連性のあるものに関しては通知することにより変更が可能です。
しかし、当初の利用目的を超える場合は、改めて本人の同意が必要です。
管理は分別管理を行うことが取り扱い事業者には義務付けられています。
他の情報と分離して管理を行うようにいたしましょう。
マイナンバーの破棄
廃棄については完全な廃棄が求められます。
紙であれば粉砕・溶解・燃焼など、デジタルデータの場合は復元ができない方法での削除・バックアップを取らない/取れない方法での削除が求められます。
企業が取るべき対応
個人情報保護委員会による「特定個人情報の適正な取扱いに関するガイドライン」=マイナンバーの取り扱いに関するガイドラインでは、「個人情報保護法の保護対象となる情報と同様、組織的および人的、物理的、技術的安全管理措置が必要であり、企業の実態に合わせて十分と考えられる措置を施す必要があります。」と記されています。
企業内でとる具体的な安全管理措置を定め、禁止事項・罰則・検査および監査についても定めましょう。
さらにマイナンバーの取扱責任者・取扱担当者を決め、万が一の事故の際の報告経路や方法を定めておくことも必要です。