ページの本文へ

Hitachi

株式会社 日立コンサルティング

民間企業におけるマイナンバー制度導入対応

大谷 和也
株式会社 日立コンサルティング マネージャー

2015年1月26日

マイナンバーの通知開始まで1年を切った2014年10月以降、民間企業を対象としたマイナンバー対応のセミナーが相次いで開催される等、民間企業のマイナンバー対応への関心が高まっています。しかし、民間企業におけるマイナンバー対応は、自治体等に比べるとまだ十分に進んでいないという状況です。
そこで、本コラムでは、民間企業におけるマイナンバー制度導入対応の具体的な内容とそのポイントを示します。
マイナンバー制度の概要については、「「マイナンバー法」のもたらすインパクトとは〜自治体への影響と取り組むべき課題〜」を参照してください。

1.マイナンバー制度における民間企業の位置づけ

まずは、マイナンバー制度における民間企業の位置づけについて説明します。

「個人番号関係事務実施者」としての対応が必要

マイナンバーを取り扱うことができる機関等は、マイナンバー法で規定されおり、「個人番号利用事務実施者」と「個人番号関係事務実施者」の2つがあります。
マイナンバーを利用して事務を行うのが「個人番号利用事務実施者」であり、国の行政機関、地方公共団体、独立行政法人等が該当します。
また、マイナンバーを利用する事務に関して、法令や条例に基づき、個人番号利用事務実施者にマイナンバーを記載した書面の提出などを行うのが「個人番号関係事務実施者」です。個人番号利用事務実施者となる民間企業*1もありますが、ほとんどの民間企業は「個人番号関係事務実施者」としてのみの対応となります。

以下、「個人番号関係事務実施者」としての民間企業について、具体的な対応内容を示します。

*1
具体的には、番号法別表第一の項番71、72に規定されている確定給付企業年金、確定拠出年金を実施する民間企業が該当します。ただし、2014年9月10日に公布された番号法別表第一の主務省令で定める事務を定める命令に規定がなく、パブリックコメント結果には「個人番号を利用することによる効果や利用するための準備等の状況を踏まえ、番号制度施行当初からの個人番号の利用は見送ることとしているため、命令案に規定されていません」と記載されています。

2.民間企業におけるマイナンバーの利用場面

税、健康保険、雇用保険等、広い範囲での対応が必要

まず、個人番号関係事務実施者としての民間企業におけるマイナンバーの利用例を示します。

民間企業における番号の利用例のイメージ図
出典:番号制度の概要
http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/h2611_gaiyou_siryou.pdf(新規ウィンドウを表示)
図1:民間企業におけるマイナンバーの利用例

図1に示すとおり、民間企業では、給与の支払い、年金・健康保険・雇用保険の各種手続等の「給与厚生関連業務」、源泉徴収票や報酬の支払調書等の作成等の「法定調書関連業務」を担当する部門でマイナンバー対応が必要となります。
具体的には、社会保険関係の被保険者資格取得届や法定調書にマイナンバーを記載することが必要となり、そのために手続対象者のマイナンバーを取得することも求められます。

以下、民間企業における「マイナンバーの取得」、「取得したマイナンバーの取扱い」に分けて、民間企業がマイナンバーを取扱う際のポイントを説明します。なお、詳細については、2014年12月11日に特定個人情報保護委員会が公表した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及びQ&Aを参照してください。

3.マイナンバー対応におけるポイント

(1)マイナンバーの取得

マイナンバー取得前に複数の利用目的をまとめて通知すべき

個人番号関係事務を処理するという目的において、民間企業はマイナンバーを本人等から取得することができます。マイナンバーの取得に先立って、具体的に利用目的を特定しておく必要があり、個人情報保護法第18条の規定に基づいて、当該利用目的を本人等へ通知又は公表する必要があります。
先述のとおり、民間企業は複数の事務でマイナンバーを取扱うことになるため、利用目的の通知又は公表の際には、複数の利用目的を特定して本人へ通知等を行うことが望ましいと考えられます。具体的には、社内LANで通知する(企業内のイントラサイトに利用目的を掲示する、従業員宛の電子メールで連絡する等)、就業規則に明記する等の方法が想定されます。

★補足★

  • 現行の個人情報保護法と異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用することはできません。
  • あくまでも個人番号関係事務を処理するために必要な範囲に限って、マイナンバーを利用できるので、「マイナンバー制度導入を契機として、社員の管理にマイナンバーを利用する」といったことは禁止されています。
  • マイナンバーに対応して、当該マイナンバーに代わって用いられる番号等も「マイナンバー」に含まれる点にも留意する必要があります。

マイナンバーを置換した別の番号等の生成イメージ図
図2:マイナンバーを置換した別の番号等の生成イメージ

マイナンバー取得時には本人確認措置が求められる

マイナンバー法では、マイナンバーの提供を受ける場合には本人確認措置を講じることを義務付けています。具体的には、「番号確認(=提供されたマイナンバーが正しい番号であることの確認)と、「身元(実存)確認(=現に手続きを行っている者が番号の正しい持ち主であることの確認)が必要です。
また、本人確認措置については、「(1)本人からマイナンバーの提供を受ける場合」、「(2)本人の代理人からマイナンバーの提供を受ける場合」それぞれについて、具体的な方法が規定されています。以下、順にその概要を説明します。

(1)本人からマイナンバーの提供を受ける場合

本人からマイナンバーの提供を受ける場合について、本人確認措置の方法を図3に示します。

本人からマイナンバーの提供を受ける場合の番号確認と身元(実存)確認
出典:「本人確認の措置について」
http://www.cas.go.jp/jp/seisaku/bangoseido/sekoukisoku/26-4hk.pdf(新規ウィンドウを表示)
図3:本人確認の措置(本人からマイナンバーの提供を受ける場合)

図3「対面・郵送」の①に示されているとおり、マイナンバーの提供者が個人番号カードを保有している場合、個人番号カードで「番号確認」、「身元確認」を行うことができます。
また、マイナンバーの提供者が個人番号カードを保有していない場合は、図3「対面・郵送」の②、③に示されているとおり、通知カードやマイナンバーが記載された住民票の写し等で「番号確認」を、運転免許証等の写真付き身分証明書で「身元確認」を行う必要があります。

なお、原則として、マイナンバーの提供を受ける都度、これらの本人確認措置を講じる必要がありますが、2回目以降のマイナンバー取得については、効率的な方法が認められています。具体的には、図3「対面・郵送」の④のウに示されているとおり、「番号確認」について、初回取得時のマイナンバーの記録と照合する方法が認められています。例えば、入社時に従業員とマイナンバーを関連付けたファイルを作成しておけば、2回目以降のマイナンバー取得時には当該ファイルのマイナンバーと一致することを確認することで「番号確認」ができます。
また、図3「対面・郵送」の⑥に示されているとおり、「身元確認」については、民間企業は雇用関係に基づいて従業員の身元を確認済みと考えられることから、個人番号利用事務実施者(税務署、自治体、日本年金機構、健康保険組合等)が認めれば、身元確認を不要とすることができます。

(2)本人の代理人からマイナンバーの提供を受ける場合

本人の代理人からマイナンバーの提供を受ける場合について、本人確認措置の方法を図4に示します。

本人の代理人からマイナンバーの提供を受ける場合の代理権の確認と代理人の身元(実存)の確認と本人の番号確認
出典:「本人確認の措置について」
http://www.cas.go.jp/jp/seisaku/bangoseido/sekoukisoku/26-4hk.pdf(新規ウィンドウを表示)
図4:本人確認の措置(本人の代理人からマイナンバーの提供を受ける場合)

「(1)本人からマイナンバーの提供を受ける場合」と比較すると、マイナンバーの提供者(=(1)は本人、(2)は本人の代理人)の「身元確認」、本人の「番号確認」の方法は、概ね共通しています。異なるのは、「代理権の確認(=本人の代理人が正当な権利を有するものであることの確認)」として、図4「対面・郵送」の①、②にあるとおり、戸籍謄本等(法定代理人の場合)や委任状(任意代理人の場合)の提出を求める点です。

★補足★

  • 扶養家族のマイナンバーを取得する場合の本人確認措置は、内閣官房のFAQ(Q4-3-6)にあるとおり、「扶養家族のマイナンバーの提供義務が誰に課されるか」によって異なります。扶養家族のマイナンバーの提供義務については各制度で規定されるため、詳細は手続の根拠法令等を確認する必要があります。
    • 扶養家族のマイナンバー提供義務が「従業員」に課される手続(税の年末調整等)の場合、従業員が「(1)本人からマイナンバーの提供を受ける場合」の本人確認措置を実施します。
    • 扶養家族のマイナンバー提供義務が「扶養家族」に課される手続(国民年金の第3号被保険者の届出等)の場合、従業員が扶養家族の代理人として手続を行うと想定されるため、民間企業が「(2)本人の代理人からマイナンバーの提供を受ける場合」の本人確認措置を実施します。
  • 個人番号カードは本人の申請に基づいて、2016年1月以降に交付されるため、2015年10月から12月の間にマイナンバーを収集する場合、個人番号カードでの本人確認を行うことはなく、通知カードで番号確認、運転免許証等で身元確認を実施することになります。

(2)取得したマイナンバーの取扱い

全ての民間企業が安全管理措置を講じる義務がある

マイナンバーを取得した民間企業は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じることが求められます。具体的には、特定個人情報の取扱いに関する基本方針及び取扱規程等を策定したうえで、4つの安全管理措置(組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置)を講じることが必要です。
詳細については、2014年12月11日に公表された「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「(別添)特定個人情報に関する安全管理措置(事業者編)」を参照してください。

★補足★

  • 個人情報保護法における「個人情報取扱事業者」に該当しない小規模な民間企業でも、安全管理措置を講じることが義務付けられます。なお、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「(別添)特定個人情報に関する安全管理措置(事業者編)」では、【中小規模事業者における対応方法】が示されています。
  • 生存する個人だけではなく、「死者」のマイナンバーも安全管理措置の対象です。

民間企業が個人番号関係事務を委託する場合、委託先の監督義務を負う

民間企業は、個人番号関係事務の全部又は一部を委託することができます。この場合、委託先において、委託者である民間企業自らが果たすべき安全管理措置と同等の措置が講じられるよう、委託先を監督する義務を負います。
また、委託者は、最初の委託者の許諾を得た場合のみ、再委託を行うことができます。この場合、委託者は委託先だけでなく、再委託先に対しても間接的に監督義務を負います。
図5に、民間企業Aから委託先Xに委託し、委託先Xが委託先Yに再委託する場合のイメージを示します。

委託先、再委託先の監督のイメージ図
図5:個人番号関係事務の委託、再委託の取り扱いについて

マイナンバーは保存期限を経過したら、速やかに廃棄又は削除する必要がある

取得したマイナンバーは、個人番号関係事務を行う必要がある場合に限って、保管し続けることができます。
したがって、個人番号関係事務を処理する必要がなくなった場合で、所管法令で定めた保存期間を経過した場合、マイナンバーを速やかに廃棄又は削除する必要があります。具体的には、「システムで保存しているマイナンバーの削除」、「マイナンバーが記載された書類等の廃棄もしくはマイナンバー部分のマスキング」といった対応が必要です。
なお、マイナンバーを削除した場合には、削除した記録の保存が求められています。廃棄方法等の詳細については、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」のP55「d 個人番号の削除、機器及び電子媒体等の廃棄」に例示されているので、そちらを参照してください。

★補足★

  • 個人番号関係事務でマイナンバーを利用する必要がなくなり、マイナンバーを保管する必要性がなくなった場合の対応として、「マイナンバーへのアクセス制御」は認められていません。速やかに廃棄又は削除する必要があります。
  • マイナンバーの廃棄が必要となってから実際に廃棄するまでの期間は、マイナンバー保有に係る安全性及び事務の効率性等を勘案し、各民間企業で判断してください。

民間企業がマイナンバーを提供できるケースは限られている

取得したマイナンバーは誰にでも提供できるわけではなく、マイナンバー法で規定されている場合に限って提供することができます。個人番号関係事務を行う民間企業の場合は、個人番号利用事務実施者(税務署や健康保険組合等)や個人番号関係事務の委託先等に対して、マイナンバーを提供することができます。
詳細については、内閣官房のFAQ(4−5 マイナンバーの提供)も参照してください。

★補足★

  • 一つの民間企業内の部署で特定個人情報を移動することは、マイナンバー法上の「提供」には該当しないため、実施できます。
    (例)営業部の従業員のマイナンバーは、営業部の庶務担当経由で利用目的に沿って人事部、経理部等へ提出できます。
  • 従業員の転籍、出向による異動に伴って特定個人情報を移動することは、マイナンバー法上の「提供」に該当するため、実施できません。
    (例)従業員Aが民間企業Xから系列の出向先Yへ出向した際、出向先は改めて本人Aからマイナンバーを取得する必要があります。

4.まとめ

2016年1月のマイナンバー利用開始まで、残すところ1年を切りました。まだ準備を開始していない企業は、社内体制の整備、影響のある業務範囲の明確化等から早期に着手し、2015年中に準備を完了する必要があります。
その一方で、まだ制度の詳細な運用等については、確定していない部分が残されているのも事実です。内閣官房をはじめとして、民間企業向けのマイナンバー制度対応については、随時新たな情報が提供されると想定されるので、常に最新の情報を収集するよう心がけてください。

以上

本コラム執筆コンサルタント本コラムへの感想などはこちらから

大谷 和也
株式会社 日立コンサルティング マネージャー

マイナンバー法の成立以降、自治体をはじめとする行政機関では、マイナンバー制度導入に向けた対応が進められています。しかし、民間企業では、税や健康保険、雇用保険といった広い範囲での対応が必要となるにもかかわらず、マイナンバー制度導入の影響等が十分に認識されておらず、具体的な作業に着手していない場合が多いという状況です。
民間企業におけるマイナンバー制度導入対応としては、マイナンバーを取扱うための業務・システムの見直しのほか、現行の個人情報保護法とは異なる保護措置等が求められます。平成28年1月のマイナンバー利用開始を混乱なく迎えるためには、平成27年中にこれらの対応を完了する必要があります。 このコラムでは、「民間企業」を対象に、マイナンバー制度導入による影響、必要となる具体的な対応等について、発信していきます。

※記載内容(所属部署・役職を含む)は制作当時のものです。