記事更新日: 2022/08/29
この記事では、マイナンバーの管理方法について解説します。
マイナンバーは通常の個人情報(氏名や住所など)よりも厳しい情報管理の義務が法律で決まっています。また、情報漏洩した場合の罰則も通常より厳しいものになっています。
マイナンバー管理を考える時は、マイナンバーガイドラインの「取得・利用・保管・廃棄」と「安全管理措置」を理解が必要です。
自社に合ったマイナンバー管理方法を検討しましょう。
このページの目次
会社がマイナンバーを取得して廃棄するまでの流れを説明します。
マイナンバーを提出してもらう事を「収集・取得」と言います。
会社は、従業員にマイナンバーの利用目的を明示して取得するのが義務です。
マイナンバーの利用目的は、法律で「社会保障・税・災害対策」の3つに限定されています。
「社会保障・税・災害対策」以外で収得や利用した場合は、法律違反で罰則対象となります。
マイナンバーはマイナンバーカードで確認が基本です。
マイナンバーカードを持っていない場合は、下記の身分証明を添付してもらいます。
| 確認元 | 添付する身分証明 |
| マイナンバーカード | なし |
| 通知カード | 身分証明(免許証・パスポート)のコピーを添付 |
| マイナンバー記載の住民票 |
従業員の扶養家族のマイナンバーと本人確認は、従業員本人の身分証明によって同時に確認済みとみなされるので不要です。
【例】帳票作成・提出等の記録台帳
マイナンバーを利用したら利用記録をつけ、管理します。
など
【例】特定個人情報の入手・破棄の記録台帳
「安全管理措置」に基づいたマイナンバー管理は、情報漏洩対策を講じて長期間保管することを前提に考えます。
行政手続きや納税の書類・データは、法律で決まった各書類の保管期間終了後に廃棄しましょう。
1、マイナンバー管理の全て書類で行う
2、取得は書類で行うが、そのほかの管理や利用はシステムやデータで行う
3、マイナンバー管理の全てをシステム・データで行う
3つから費用対効果や管理・運用のしやすさ、情報漏洩対策を考えて選びましょう。
必要なくなったマイナンバー情報を廃棄します。
マイナンバーの廃棄は、外部に漏洩しないよう情報が復元できない状態にすることが必須です。
【書類】シュレッダーや溶解・焼却処理をする |
【データ】復元不可能な状態のデータ消去を行う |
会社がマイナンバーを収集・取得するのは「自社が行政手続きを行う従業員の分」です。
派遣従業員など自社で行政手続きが発生しない従業員のマイナンバーは、取得不要です。
派遣従業員のマイナンバーは、派遣元に管理義務があります。
従業員はマイナンバーの提出を拒否する権利があります。
会社は、利用目的と管理方法を説明し、了承をもらわなければなりません。
了承をもらえない場合は、提供を求めた経過等を記録しておきます。その記録を基に説明すれば、法律上は「マイナンバー未記入でも届出を受け取らないことはない」となっています。
口頭で伝えられたマイナンバーをメモと取ったり、メールで連絡するなどで取得したマイナンバーでも、会社には管理義務が発生します。
万が一メモを紛失したり、メールを見られて流出した場合は、罰則に該当しますので注意しましょう。
マイナンバーは通常の個人情報と違い、第三者の提供は一切NGです。
「社会保障・税・災害対策の目的でしか利用できないこと」と「会社に全面的な管理責任があること」が法律で決まっているため、罰則対象となります。
納税や社会保険手続きに関する書類は、法律で保管期間が決まっているので、保管期間終了後に廃棄します。
しかし、マイナンバー法では「利用目的を明示して収集した特定個人情報は必要がある限り保管し続けることができる」としています。これは「在籍・退職関係なく会社が必要と判断すれば従業員のマイナンバー情報を保管し続ける事が出来る」という意味で、実質的な保管期間の判断を会社側に委ねています。
マイナンバーガイドラインでは「最低でも年に1回は必ず情報を整理する」ことを推奨していますので、それに従いましょう。
不要な個人情報の保持はリスクしかありません。
紛失や漏洩対策の負担などのマイナンバー管理業務を圧迫させるだけですので、シンプルな管理期間に設定しましょう。
画像出典元:マイナンバーガイドライン
会社が行うマイナンバー管理には「情報漏洩させないための具体策」として安全管理措置の徹底を義務付けています。
まず、「基本方針の策定」と「取扱規程の策定」で、自社のマイナンバー管理体制や責任の所在を明文化して従業員に周知します。
基本方針の策定とは、自社のマイナンバー管理に関する概要説明です。
基本方針の策定は任意のため、会社の規模関係なく策定しなくてもよいとされていますが、会社への信頼やリスク管理の観点から策定しておくべきです。
など
取扱規程等の策定とは、マイナンバー管理の具体的な方法に関するマニュアル等を作成する義務のことです。
「誰が」「いつ」「何に」「どこで」「どうやって」マイナンバーを扱うのかを明文化します。
など
従業員101名以上の事業者は、社内規定としてマイナンバー等取扱規定を作成し、所轄の労働基準監督署への届出が義務付けられています。
従業員数が101人以下の事業者は、マイナンバーの取扱規程等の策定は任意ですが、特定個人情報等の取扱いを明確化することが定められています。
組織的安全管理措置とは、社内のマイナンバー管理体制の整備と運用のことです。
マイナンバー管理の「責任の所在」「取扱う人」「取扱業務範囲」を決めます。
マイナンバーに接する人や業務フローを最小限に抑えて管理運用することが情報漏洩対策では重要です。
例えば「支社のマイナンバーも本社で一括管理出来るようにする」「営業が個人と取引した場合でもマイナンバー記載の支払調書作成事務はマイナンバー取扱者が行う」など不要な業務フローを削減します。
本社一括管理にしてマイナンバー管理フローを減らすイメージ図
実用的な運用方法として、責任者と監督者が増えすぎると「責任の所在が不明」「責任が分散されすぎて運用がスムーズにいかない」という矛盾が生じます。
名ばかりの責任者や監督者を増やさずに最少人数でマイナンバー管理するチーム編成を行いましょう。
マイナンバー管理では、マイナンバー情報を取扱う人に対する監督者を付ける事を推奨しています。
これは、取扱者と監督者、双方で不正や管理姿勢のモニタリング体制を作るためです。
マイナンバーが流出した場合の業務フローを決めておきます。
リスクに備えて初動を間違わない事が、不要な混乱を招かずに、会社の信頼回復と流出拡大防止になります。
人的安全管理措置とは、マイナンバー管理に携わる従業員への人材教育を行うことです。
「マイナンバー管理の重要性への理解」「秘密保持に関する知識」を持った人材を育成することで、安全管理措置の運用が適正に行われます。
従業員がマイナンバーを流出させた場合は、監督者である会社も罰則の対象となります。
従業員の不正は会社の管理体制の脆弱さや教育制度の不備から起こることも多いです。
ナンバー管理の人材育成がリスクマネジメントになることを理解しましょう。
物理的安全管理措置とは、マイナンバーを取扱うツールからの情報漏洩防止策や実務を行う場所を明確に決める義務のことです。
マイナンバーを除き見されないオフィス環境を整備しましょう。
■具体策の例
「デスクやパソコンの配置を後ろから見えない配置にする」
「マイナンバー記入などの業務を行うデスクを限定する」
「中が見えない封筒やファイルに入れる」
「マイナンバー記述個所に目隠しシールを用いる」
「スリープまでの時間を他のパソコンより短く設定する」
「パソコン画面にのぞき見防止シートを貼る」
マイナンバーを保管するキャビネットは施錠付き、もしくは施錠や入退出管理が出来る部屋で管理します。
特定の従業員しか開けられないようにして、担当者以外がマイナンバーの書類に接しない環境を作りましょう。
マイナンバーを管理するパソコンが盗難されないように、セキュリティワイヤーでデスクの脚やラックのフレームなどに固定することが推奨されています。
技術的安全管理措置とは、マイナンバーが含まれるファイル・システムに関するセキュリティ対策のことです。
マイナンバーを管理するパソコン・ファイルには上記の設定が必須です。
マイナンバー管理の中小企業特例措置とは、中小企業向けの安全管理措置に対する軽減管理のことです。
中小規模事業者が大企業と同じマイナンバー管理を徹底するのは、負担が大きく非効率であるという観点から100人以下の事業者に関しては、一部軽減策を認めています。
| 軽減策の一部 | |
| 組織的安全管理措置 |
実務の取扱者と監督者を分けなくてもよい マイナンバー流出の対策構築が免除される |
| 人的安全管理措置 |
軽減措置なし |
| 物理的安全管理措置 |
廃棄・削除の記録はなくてもよい |
| 技術的安全措置 |
アクセス権限の設定は免除される |
ただし、万が一流出した時の罰則と責任の大きさは変わりません。
安全性を重視して自社の管理人数の規模に合わせた軽減管理策を検討しましょう。
画像出典元:Amazon「コクヨ マイナンバー 取得・管理キット」
書類でマイナンバー管理を行う場合は「マイナンバー専用の管理セット」を活用をお勧めします。
ExcelやWordでマイナンバー管理台帳を作成し、プリントして活用でも構いません。
マイナンバー関連書類は箱などに年度ごとにまとめて保管しましょう。
マイナンバーが記載された各書類の法定保管期間は最低でも2年間、長くて10年間です。
マイナンバー書類原本は電子データ化して、保管後の書類確認はデータで行いましょう。
箱に入れた原本を不用意に開くことを無くせば、原本の紛失・劣化・破損対策になります。
対策1:エクセルファイルにパスワードの設定
対策2:エクセルファイルを暗号化する
対策3:アクセス権限の細分化して設定
対策4:ウイルス対策ソフトを必ず入れる
対策5:パソコン画面を他人に見られないようにする
マイナンバー管理をエクセルで行うことは可能ですが、推奨は出来ません。
エクセルはセキュリティ対策が難しく、安全管理措置を確保するのは難しい管理方法です。
エクセルでのマイナンバー管理できるのは、小規模事業者であり、上記のセキュリティ対策を徹底できる環境があることが最低条件と考えましょう。
会社が使用範囲外の用途で正当な理由もなくマイナンバーが記載された書類やファイルを外部に提供することは4年以下の懲役、もしくは200万円以下の罰金の対象になります。
自身の利益のためにマイナンバーを外部に提供・盗用すると、3年以下の懲役、もしくは150万円以下の罰金に処せられます。
欺いたり、脅迫したり、暴行を加えるなどしてマイナンバーを収集した場合には3年以下の懲役、もしくは150万円以下の罰金に処せられます。
マイナンバーは機密情報の高さから「執行猶予」がありません。
即逮捕・罰則という厳しい条件がある事を理解して管理方法を選びましょう。
JNSAセキュリティ被害調査ワーキンググループが2018年に行った「2018年の個人情報漏えいインシデントの分析結果」でも上記のような結果が出ています。
個人情報の流出事件の8割近くは、ヒューマンエラーによるものです。
マイナンバー管理の業務フローが複雑になる方法、専門知識が必要になる管理方法、不正が発見しずらい管理が難しい方法は避けましょう。
マイナンバー管理システムの活用は4つの安全管理措置の徹底に関する負担が軽減されるほか、会社規模の変化や法改正への対応が可能です。
例えば、従業員本人にデータ入力してもらうため、人を介在せずにマイナンバー取得が行えるため安全です。
最近は行政手続きも電子申請へ移行しています。
マイナンバー管理システムを選ぶ時は、クラウド型で、労務管理機能が搭載されて、行政手続きの書類にマイナンバーが自動転記できる機能を重視します。
画像出典元:「オフィスステーション マイナンバー」公式HP
「オフィスステーション マイナンバー」は、厳重なセキュリティのもとで従業員のマイナンバーを管理できるツールです。
サイト改ざん防止システムの導入や通信データの暗号化など、金融機関並みのセキュリティを誇ります。
月額費用も規定の人数幅であれば一定のため、毎月のコストを気にせず企業規模に合わせて導入できるのが魅力です。
初回契約時のみ、登録料は110,000円(税込)がかかります。
月額料金は、利用する従業員数によって変動し、各従業員数の範囲内であれば、表中の料金しか発生しません。
| 従業員数 | 〜100名 | 101〜200名 | 201〜300名 |
| 登録料(税込) | 110,000円 | ||
| 月額利用料(税込) | 3,300円 | 4,400円 | 5,500円 |
※300名超の場合は、100名ごとに1,100円(税込)追加となります
「ジョブカン労務HR」は初めて労務管理システムを利用する人にお勧めです。導入実績はシリーズ累計100,000社以上と、かなり多くの会社で使われています。とにかく使いやすく、労務業務に不慣れな人でも書類作成から申請まで簡単に行うことができます。
ユーザ数1人あたり毎月 400円/月です。
400円で 全ての機能が使えるので、使いたい機能を追加してオプション料金がかかるという心配もありません。
5名までの規模の会社であれば、利用機能に一部制限はあるものの無料プランで利用することができます。その場合のデメリットとしては、過去にした手続きの履歴の保存期間が30日ということです。
有料プランでは従業員数は無制限であるため、従業員数が変動しても気にせずに利用し続けることができます。
初期費用は従業員数に関わらず無料なため、初めて労務管理システムを利用する人でも手軽に導入可能です。
ジョブカン労務HR 含むマイナンバー管理の資料をDL
マイナンバー管理について解説しました。
マイナンバーガイドラインに決められた安全管理措置の徹底が重要です。
マイナンバーを取扱う部署・人・業務フロー・パソコンは最小限にします。
安全管理措置の徹底には、担当者や責任者に重要な個人情報を取扱っている意識を持たせること事が重要です。
会社の管理人数と規模に合わせて、リスク管理が徹底できるマイナンバー管理方法を導入しましょう。
画像出典元:O-DAN、マイナンバーガイドライン
