2015年1月26日
マイナンバーの通知開始まで1年を切った2014年10月以降、民間企業を対象としたマイナンバー対応のセミナーが相次いで開催される等、民間企業のマイナンバー対応への関心が高まっています。しかし、民間企業におけるマイナンバー対応は、自治体等に比べるとまだ十分に進んでいないという状況です。
そこで、本コラムでは、民間企業におけるマイナンバー制度導入対応の具体的な内容とそのポイントを示します。
マイナンバー制度の概要については、「「マイナンバー法」のもたらすインパクトとは〜自治体への影響と取り組むべき課題〜」を参照してください。
まずは、マイナンバー制度における民間企業の位置づけについて説明します。
マイナンバーを取り扱うことができる機関等は、マイナンバー法で規定されおり、「個人番号利用事務実施者」と「個人番号関係事務実施者」の2つがあります。
マイナンバーを利用して事務を行うのが「個人番号利用事務実施者」であり、国の行政機関、地方公共団体、独立行政法人等が該当します。
また、マイナンバーを利用する事務に関して、法令や条例に基づき、個人番号利用事務実施者にマイナンバーを記載した書面の提出などを行うのが「個人番号関係事務実施者」です。個人番号利用事務実施者となる民間企業※1もありますが、ほとんどの民間企業は「個人番号関係事務実施者」としてのみの対応となります。
以下、「個人番号関係事務実施者」としての民間企業について、具体的な対応内容を示します。
まず、個人番号関係事務実施者としての民間企業におけるマイナンバーの利用例を示します。
出典:番号制度の概要
図1:民間企業におけるマイナンバーの利用例
図1に示すとおり、民間企業では、給与の支払い、年金・健康保険・雇用保険の各種手続等の「給与厚生関連業務」、源泉徴収票や報酬の支払調書等の作成等の「法定調書関連業務」を担当する部門でマイナンバー対応が必要となります。
具体的には、社会保険関係の被保険者資格取得届や法定調書にマイナンバーを記載することが必要となり、そのために手続対象者のマイナンバーを取得することも求められます。
以下、民間企業における「マイナンバーの取得」、「取得したマイナンバーの取扱い」に分けて、民間企業がマイナンバーを取扱う際のポイントを説明します。なお、詳細については、2014年12月11日に特定個人情報保護委員会が公表した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及びQ&Aを参照してください。
個人番号関係事務を処理するという目的において、民間企業はマイナンバーを本人等から取得することができます。マイナンバーの取得に先立って、具体的に利用目的を特定しておく必要があり、個人情報保護法第18条の規定に基づいて、当該利用目的を本人等へ通知又は公表する必要があります。
先述のとおり、民間企業は複数の事務でマイナンバーを取扱うことになるため、利用目的の通知又は公表の際には、複数の利用目的を特定して本人へ通知等を行うことが望ましいと考えられます。具体的には、社内LANで通知する(企業内のイントラサイトに利用目的を掲示する、従業員宛の電子メールで連絡する等)、就業規則に明記する等の方法が想定されます。
★補足★
図2:マイナンバーを置換した別の番号等の生成イメージ
マイナンバー法では、マイナンバーの提供を受ける場合には本人確認措置を講じることを義務付けています。具体的には、「番号確認(=提供されたマイナンバーが正しい番号であることの確認)と、「身元(実存)確認(=現に手続きを行っている者が番号の正しい持ち主であることの確認)が必要です。
また、本人確認措置については、「(1)本人からマイナンバーの提供を受ける場合」、「(2)本人の代理人からマイナンバーの提供を受ける場合」それぞれについて、具体的な方法が規定されています。以下、順にその概要を説明します。
(1)本人からマイナンバーの提供を受ける場合
本人からマイナンバーの提供を受ける場合について、本人確認措置の方法を図3に示します。
出典:「本人確認の措置について」
図3:本人確認の措置(本人からマイナンバーの提供を受ける場合)
図3「対面・郵送」の①に示されているとおり、マイナンバーの提供者が個人番号カードを保有している場合、個人番号カードで「番号確認」、「身元確認」を行うことができます。
また、マイナンバーの提供者が個人番号カードを保有していない場合は、図3「対面・郵送」の②、③に示されているとおり、通知カードやマイナンバーが記載された住民票の写し等で「番号確認」を、運転免許証等の写真付き身分証明書で「身元確認」を行う必要があります。
なお、原則として、マイナンバーの提供を受ける都度、これらの本人確認措置を講じる必要がありますが、2回目以降のマイナンバー取得については、効率的な方法が認められています。具体的には、図3「対面・郵送」の④のウに示されているとおり、「番号確認」について、初回取得時のマイナンバーの記録と照合する方法が認められています。例えば、入社時に従業員とマイナンバーを関連付けたファイルを作成しておけば、2回目以降のマイナンバー取得時には当該ファイルのマイナンバーと一致することを確認することで「番号確認」ができます。
また、図3「対面・郵送」の⑥に示されているとおり、「身元確認」については、民間企業は雇用関係に基づいて従業員の身元を確認済みと考えられることから、個人番号利用事務実施者(税務署、自治体、日本年金機構、健康保険組合等)が認めれば、身元確認を不要とすることができます。
(2)本人の代理人からマイナンバーの提供を受ける場合
本人の代理人からマイナンバーの提供を受ける場合について、本人確認措置の方法を図4に示します。
出典:「本人確認の措置について」
図4:本人確認の措置(本人の代理人からマイナンバーの提供を受ける場合)
「(1)本人からマイナンバーの提供を受ける場合」と比較すると、マイナンバーの提供者(=(1)は本人、(2)は本人の代理人)の「身元確認」、本人の「番号確認」の方法は、概ね共通しています。異なるのは、「代理権の確認(=本人の代理人が正当な権利を有するものであることの確認)」として、図4「対面・郵送」の①、②にあるとおり、戸籍謄本等(法定代理人の場合)や委任状(任意代理人の場合)の提出を求める点です。
★補足★
マイナンバーを取得した民間企業は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じることが求められます。具体的には、特定個人情報の取扱いに関する基本方針及び取扱規程等を策定したうえで、4つの安全管理措置(組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置)を講じることが必要です。
詳細については、2014年12月11日に公表された「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「(別添)特定個人情報に関する安全管理措置(事業者編)」を参照してください。
★補足★
民間企業は、個人番号関係事務の全部又は一部を委託することができます。この場合、委託先において、委託者である民間企業自らが果たすべき安全管理措置と同等の措置が講じられるよう、委託先を監督する義務を負います。
また、委託者は、最初の委託者の許諾を得た場合のみ、再委託を行うことができます。この場合、委託者は委託先だけでなく、再委託先に対しても間接的に監督義務を負います。
図5に、民間企業Aから委託先Xに委託し、委託先Xが委託先Yに再委託する場合のイメージを示します。
図5:個人番号関係事務の委託、再委託の取り扱いについて
取得したマイナンバーは、個人番号関係事務を行う必要がある場合に限って、保管し続けることができます。
したがって、個人番号関係事務を処理する必要がなくなった場合で、所管法令で定めた保存期間を経過した場合、マイナンバーを速やかに廃棄又は削除する必要があります。具体的には、「システムで保存しているマイナンバーの削除」、「マイナンバーが記載された書類等の廃棄もしくはマイナンバー部分のマスキング」といった対応が必要です。
なお、マイナンバーを削除した場合には、削除した記録の保存が求められています。廃棄方法等の詳細については、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」のP55「d 個人番号の削除、機器及び電子媒体等の廃棄」に例示されているので、そちらを参照してください。
★補足★
取得したマイナンバーは誰にでも提供できるわけではなく、マイナンバー法で規定されている場合に限って提供することができます。個人番号関係事務を行う民間企業の場合は、個人番号利用事務実施者(税務署や健康保険組合等)や個人番号関係事務の委託先等に対して、マイナンバーを提供することができます。
詳細については、内閣官房のFAQ(4−5 マイナンバーの提供)も参照してください。
★補足★
2016年1月のマイナンバー利用開始まで、残すところ1年を切りました。まだ準備を開始していない企業は、社内体制の整備、影響のある業務範囲の明確化等から早期に着手し、2015年中に準備を完了する必要があります。
その一方で、まだ制度の詳細な運用等については、確定していない部分が残されているのも事実です。内閣官房をはじめとして、民間企業向けのマイナンバー制度対応については、随時新たな情報が提供されると想定されるので、常に最新の情報を収集するよう心がけてください。
以上
大谷 和也 株式会社 日立コンサルティング マネージャー
マイナンバー法の成立以降、自治体をはじめとする行政機関では、マイナンバー制度導入に向けた対応が進められています。しかし、民間企業では、税や健康保険、雇用保険といった広い範囲での対応が必要となるにもかかわらず、マイナンバー制度導入の影響等が十分に認識されておらず、具体的な作業に着手していない場合が多いという状況です。
民間企業におけるマイナンバー制度導入対応としては、マイナンバーを取扱うための業務・システムの見直しのほか、現行の個人情報保護法とは異なる保護措置等が求められます。平成28年1月のマイナンバー利用開始を混乱なく迎えるためには、平成27年中にこれらの対応を完了する必要があります。
このコラムでは、「民間企業」を対象に、マイナンバー制度導入による影響、必要となる具体的な対応等について、発信していきます。
※記載内容(所属部署・役職を含む)は制作当時のものです。