民間企業におけるマイナンバー制度導入対応

(1)マイナンバーの取得

マイナンバー取得前に複数の利用目的をまとめて通知すべき

個人番号関係事務を処理するという目的において、民間企業はマイナンバーを本人等から取得することができます。マイナンバーの取得に先立って、具体的に利用目的を特定しておく必要があり、個人情報保護法第18条の規定に基づいて、当該利用目的を本人等へ通知又は公表する必要があります。
先述のとおり、民間企業は複数の事務でマイナンバーを取扱うことになるため、利用目的の通知又は公表の際には、複数の利用目的を特定して本人へ通知等を行うことが望ましいと考えられます。具体的には、社内LANで通知する（企業内のイントラサイトに利用目的を掲示する、従業員宛の電子メールで連絡する等）、就業規則に明記する等の方法が想定されます。

マイナンバー取得時には本人確認措置が求められる

マイナンバー法では、マイナンバーの提供を受ける場合には本人確認措置を講じることを義務付けています。具体的には、「番号確認（＝提供されたマイナンバーが正しい番号であることの確認）と、「身元（実存）確認（＝現に手続きを行っている者が番号の正しい持ち主であることの確認）が必要です。
また、本人確認措置については、「（1）本人からマイナンバーの提供を受ける場合」、「（2）本人の代理人からマイナンバーの提供を受ける場合」それぞれについて、具体的な方法が規定されています。以下、順にその概要を説明します。

（1）本人からマイナンバーの提供を受ける場合

本人からマイナンバーの提供を受ける場合について、本人確認措置の方法を図3に示します。

出典：「本人確認の措置について」
図3：本人確認の措置（本人からマイナンバーの提供を受ける場合）

図3「対面・郵送」の①に示されているとおり、マイナンバーの提供者が個人番号カードを保有している場合、個人番号カードで「番号確認」、「身元確認」を行うことができます。
また、マイナンバーの提供者が個人番号カードを保有していない場合は、図3「対面・郵送」の②、③に示されているとおり、通知カードやマイナンバーが記載された住民票の写し等で「番号確認」を、運転免許証等の写真付き身分証明書で「身元確認」を行う必要があります。

なお、原則として、マイナンバーの提供を受ける都度、これらの本人確認措置を講じる必要がありますが、2回目以降のマイナンバー取得については、効率的な方法が認められています。具体的には、図3「対面・郵送」の④のウに示されているとおり、「番号確認」について、初回取得時のマイナンバーの記録と照合する方法が認められています。例えば、入社時に従業員とマイナンバーを関連付けたファイルを作成しておけば、2回目以降のマイナンバー取得時には当該ファイルのマイナンバーと一致することを確認することで「番号確認」ができます。
また、図3「対面・郵送」の⑥に示されているとおり、「身元確認」については、民間企業は雇用関係に基づいて従業員の身元を確認済みと考えられることから、個人番号利用事務実施者（税務署、自治体、日本年金機構、健康保険組合等）が認めれば、身元確認を不要とすることができます。

（2）本人の代理人からマイナンバーの提供を受ける場合

本人の代理人からマイナンバーの提供を受ける場合について、本人確認措置の方法を図4に示します。

出典：「本人確認の措置について」
図4：本人確認の措置（本人の代理人からマイナンバーの提供を受ける場合）

「（1）本人からマイナンバーの提供を受ける場合」と比較すると、マイナンバーの提供者（＝（1）は本人、（2）は本人の代理人）の「身元確認」、本人の「番号確認」の方法は、概ね共通しています。異なるのは、「代理権の確認（＝本人の代理人が正当な権利を有するものであることの確認）」として、図4「対面・郵送」の①、②にあるとおり、戸籍謄本等（法定代理人の場合）や委任状（任意代理人の場合）の提出を求める点です。

(2)取得したマイナンバーの取扱い

全ての民間企業が安全管理措置を講じる義務がある

マイナンバーを取得した民間企業は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じることが求められます。具体的には、特定個人情報の取扱いに関する基本方針及び取扱規程等を策定したうえで、4つの安全管理措置（組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置）を講じることが必要です。
詳細については、2014年12月11日に公表された「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」の「（別添）特定個人情報に関する安全管理措置（事業者編）」を参照してください。

民間企業が個人番号関係事務を委託する場合、委託先の監督義務を負う

民間企業は、個人番号関係事務の全部又は一部を委託することができます。この場合、委託先において、委託者である民間企業自らが果たすべき安全管理措置と同等の措置が講じられるよう、委託先を監督する義務を負います。
また、委託者は、最初の委託者の許諾を得た場合のみ、再委託を行うことができます。この場合、委託者は委託先だけでなく、再委託先に対しても間接的に監督義務を負います。
図5に、民間企業Aから委託先Xに委託し、委託先Xが委託先Yに再委託する場合のイメージを示します。

図5：個人番号関係事務の委託、再委託の取り扱いについて

マイナンバーは保存期限を経過したら、速やかに廃棄又は削除する必要がある

取得したマイナンバーは、個人番号関係事務を行う必要がある場合に限って、保管し続けることができます。
したがって、個人番号関係事務を処理する必要がなくなった場合で、所管法令で定めた保存期間を経過した場合、マイナンバーを速やかに廃棄又は削除する必要があります。具体的には、「システムで保存しているマイナンバーの削除」、「マイナンバーが記載された書類等の廃棄もしくはマイナンバー部分のマスキング」といった対応が必要です。
なお、マイナンバーを削除した場合には、削除した記録の保存が求められています。廃棄方法等の詳細については、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」のP55「d　個人番号の削除、機器及び電子媒体等の廃棄」に例示されているので、そちらを参照してください。

民間企業がマイナンバーを提供できるケースは限られている

取得したマイナンバーは誰にでも提供できるわけではなく、マイナンバー法で規定されている場合に限って提供することができます。個人番号関係事務を行う民間企業の場合は、個人番号利用事務実施者（税務署や健康保険組合等）や個人番号関係事務の委託先等に対して、マイナンバーを提供することができます。
詳細については、内閣官房のFAQ（4−5　マイナンバーの提供）も参照してください。