水町 雅子
五番町法律事務所 弁護士
元内閣官房社会保障改革担当室参事官補佐
本連載では、マイナンバーのために今やるべきことは何か、マイナンバーの取り扱いのポイントは何かを、具体的に解説していく。
「マイナンバーを自社で取り扱うのは不安」「人員が足りない」「専門知識がないから外部サービスを使おう」と考えた時に、どのような委託・調達が考えられるのか。そもそも委託・調達したほうがよいのか、しなくても大丈夫なのか、あらためて検討してみよう。第6回は、委託・調達の準備について解説する。今回は委託・調達事項について紹介し、委託した場合の「委託先の監督」は回を改めて説明する。
今回のポイント「委託・調達の必要性を判断しよう」
● 民間企業がやらなくてはならないことは、①マイナンバーを取得し、②本人確認をし、③必要な範囲内で利用・提供し、④安全に保管し、⑤廃棄すること
● ①から⑤それぞれ外部に委託することは可能だが、自社で行うこともできる
● 委託しても委託元は委託先を監督しなくてはならないので、その点を踏まえ、自社で行うのか、委託するのかを判断する
● マイナンバーも基本的には、従業員の給与額・人事査定ランクなどの重要情報の扱いと同様に考えれば、分かりやすい
マイナンバーだからといって、必ずしも委託・調達が必要になるわけではない。民間企業が、マイナンバーに関して行うべきことは、以下の五つ。①マイナンバーを取得し、②本人確認をし、③必要な範囲内で利用・提供し、④安全に保管し、⑤廃棄することである。それぞれのフェーズごとに概要と委託・調達の可能性を見ていこう。
1.マイナンバーの取得
[1]民間企業がやらなければいけないこと
マイナンバーを従業員、扶養家族、税の法定調書の対象者から取得する。これを代行する委託先もあるので、委託するのも選択肢の一つだろう。
もっとも、民間企業では、従業員と扶養家族から、これまでも社内手続きのために住所、氏名、続柄、勤務先・学校、基礎年金番号などの個人情報を取得してきたわけであり、マイナンバーだからといって、取得が特別というわけではない。また、従来も法定調書作成のために、従業員と扶養家族以外の者(顧客や報酬の支払先など)からも、住所、氏名、振込先口座などの個人情報を取得している。
一方で、これまでと違い、マイナンバーの提供を拒否する者の存在も考えられるが、税務署はマイナンバー欄が空欄の法定調書も受け付けることを公表している。ただし、この場合も拒否されたという記録をとっておく必要はある(国税庁HP 国税分野におけるFAQ Q2-10)。
[2]委託する際の判断基準[図表1]
つまり、マイナンバーの取得に関しては、これまでの個人情報の取得と大きく実務が変わらないので、委託しなくても自社でできる。したがって、業務効率化・委託先の監督にかかる負荷などの観点からメリット・デメリットを勘案して任意に判断していけばよい。もっとも、後掲2.の本人確認を委託する場合は、取得も併せて委託するほうが圧倒的に効率的である。
[図表1]<取得>委託の検討ポイント
2.本人確認
[1]民間企業がやらなければならないこと
マイナンバーを本人か代理人から取得するときは、原則として本人確認が必要となる(マイナンバー法16条)。
本人確認は、そのマイナンバーが正しい番号かという確認(番号確認)と、その番号提供者が本人の申告するとおりの人物かという確認(身元確認)の二つが必要となる。本人確認は、原則として、下記のいずれかの方法で確認する。
・個人番号カード(番号確認と身元確認)
・通知カード(番号確認)+運転免許証など(身元確認)
・個人番号が記載された住民票の写しなど(番号確認)+運転免許証など(身元確認)
本人確認に必要とされる資料の組み合わせは、番号提供者の類型によって異なるが、原則として[図表2]のとおりである。
①外部者(従業員と扶養家族以外の法定調書対象者)
報酬を支払っている弁護士や税理士などの取引先や配当を支払っている株主などの外部者、すなわち従業員と扶養家族以外の法定調書対象者の場合が、一番基本的な本人確認方法となるため、これから先に解説する。この場合は、番号確認として、(1)個人番号カードか、通知カードか、マイナンバーが記載された住民票の写しを提示してもらうか、コピーを郵送してもらうか、スキャンしてメールで送ってもらう。
これに対し身元確認は、上記のうち、通知カードや住民票の写しでは兼ねることができない(個人番号カードではできる)。通知カードや住民票の写しには写真がないし、法令の定める身元確認資料には当たらないため、個人番号カード以外の場合は、身元確認は、(1)とは別個に、(2)運転免許証やパスポートなどの顔写真付きの身分証明書で行うのが基本だ。個人番号カードの場合は、番号確認と身元確認をこれ1枚で兼ねることができる。
②従業員
従業員についても番号確認は、個人番号カードか、通知カードか、マイナンバーが記載された住民票の写しを提示してもらうか、そのコピーを取得して行う。なお、「住民票の写し」とはコピーのことではなく、市区町村から交付される原本自体をいう。その原本自体かそのコピーを取得しよう。
一方、身元確認は、従業員については採用時に本人確認が行われていれば、別人と勘違いすることはないと考えられるため、身元確認資料を確認しないでもよいことが法令上認められている。
③従業員の扶養家族(国民年金の第3号被保険者の場合)
扶養家族については、やや複雑だ。原則として会社による本人確認は不要だが、年金でのマイナンバー利用が始まれば、国民年金の第3号被保険者(第2号被保険者である従業員等の配偶者)の場合は、代理人であるところの従業員から扶養家族のマイナンバーを受け取るため、上記①②よりも確認資料が多くなる。
まず、本人が代理人に委任したことを確認するために、(1)委任状(扶養家族から従業員に対し、マイナンバーの取り扱いを含む年金の手続きを委任する委任状)が必要である。そして扶養家族の番号確認のために、(2)扶養家族の個人番号カードか、通知カードか、マイナンバーが記載された住民票の写しを提示してもらうか、コピーを取得する。本来はさらに、代理人(マイナンバーを実際に持参する従業員)の身元確認資料が必要であるが、この場合の代理人は従業員であるため、上記②と同様、採用時に本人確認が行われていれば、従業員を別人と勘違いすることはないと考えられるため、代理人の身元確認資料は不要である。
もっとも、代理人たる従業員を介さずに、扶養家族から直接会社に書類を郵送してもらえば、上記①と同じ資料にすることができ、委任状は不要となる。この場合に郵送してもらう必要がある資料は、(1)扶養家族の運転免許証などの身分証明書と(2)扶養家族の個人番号カードか、通知カードか、マイナンバーが記載された住民票の写しである。
[図表2]本人確認の方法(実務上考えられる一例、対面の場合)※クリックして拡大
[2]委託の可能性[図表3]
本人確認を代行する外部サービス(委託先)もある。本人確認は事務が煩雑となるおそれがあるので、委託するという選択は十分考えられる。もっとも、本人確認は、結局は運転免許証やカードを確認する作業なので、自社で行うことが不可能ではない。さらに、複数の会社から本人確認を請け負っている委託先は、本人確認等の細かな方法に詳しいと考えがちだが、本人確認の方法を緻密に検討するためには、法令を丁寧に読み込まなくてはならない。マイナンバーに関連する法令は、弁護士でも理解するのに時間を要する構造になっている。そのため、委託先が本当に本人確認の方法を正しく理解しているかどうかは判然としない部分もある。
また、委託するにしても、委託先の適切な選定・監督等を行わなければならない(マイナンバー法11条、個人情報保護法22条)。したがって、自社で行うのと、委託先に委託した上で監督責任等を果たしていくのと、どちらがよいか、作業負荷・経済的負担を含め、判断していこう。
[図表3]<本人確認>委託の検討ポイント
3.必要な範囲内での利用・提供
[1]民間企業がやらなければならないこと
マイナンバーを税務手続き、社会保障手続きの中で利用し、必要な相手方(税務署・ハローワークなど)に提供していく。当面、民間企業でマイナンバーを利用するのは、税の法定調書作成、社会保障の雇用保険手続き、健康保険手続き、厚生年金手続き、国民年金手続きである。これまでの連載でも解説してきたとおり、マイナンバーは、現行の税務手続き、社会保障手続きと異なるものではなく、その中の情報の一項目である。したがって、自社ではできず、委託しなければできないという性質のものではない。
[2]委託の可能性[図表4]
もっとも、税務手続き、社会保障手続きをこれまでも他の会社、税理士、社会保険労務士などに委託していた場合は、マイナンバーの利用・提供も、従前の委託先に委託することが考えられる。ただし、必ずしも委託しなければならないわけではなく、マイナンバーを機に自社で行うということもあり得ないわけではない。
自社内では、「必要な範囲内」で取り扱えるか不安という声もあるかもしれないが、税務手続き、社会保障手続きのためだけに取り扱い、他の目的には流用しなければよい(連載第4回参照)。この点も、今でも多くの企業では、個人情報を「必要な範囲内」で取り扱っていると考えられるので、マイナンバーによって劇的に何か変化があるわけではない。例えば、今でも、税務手続き・社会保障手続きに必要な情報として、従業員から扶養家族の情報を取得していると思われるが、これを別の目的には流用していないだろう。例えば、税務手続き・社会保障手続きのために把握した、「従業員に子どもがいる」ということを販促に利用し、自社や提携先が販売する子ども向け商品の勧誘を行ったり、学資保険の勧誘を行うことなどは、多くの企業においては行っていないと思われる。また、従業員の扶養家族の変動、例えば配偶者と離婚したという事実を、業務に必要な範囲を超えて、無関係の者に教えるということも、行っていないと思われる。これと同様に、マイナンバーについても、「税務手続き・社会保障手続きを行う」という当該業務に必要ではない用途に、利用したり提供してはいけないということである。
なお、委託しても、委託先が実際に「必要な範囲内」で取り扱うかどうかは分からない。そのため、必要な範囲内の取り扱いとなるよう、自社で監督をしなければならない。自社で行うのと、委託先に委託した上で監督責任等を果たしていくのと、どちらがよいか、判断していこう。
[図表4]<利用・提供>委託の検討ポイント
4.マイナンバーの安全な保管
[1]民間企業がやらなければならないこと
民間企業が最も不安に思うのは、マイナンバーの安全な保管であろう。ただ、これも、これまでの個人情報と大幅に異なるものではない。民間企業では、これまでも従業員の給与情報、人事査定情報、健康・メンタルヘルス状況などの個人情報を取り扱ってきた。どの従業員の査定ランクがAで給与額がいくらか、どの従業員がどういうメンタルヘルスの状況にあるか、どの従業員が誰に対しセクハラ・パワハラを訴えていて調査したところ事実関係はどうであり、どういう処分を検討したかなどの個人の重要情報が、担当者以外の従業員の目に触れてしまったり、外部に流出してしまっては大問題になる。マイナンバーもこれと同じことである。したがって、通常であれば、これらのすでに企業が保管している重要情報と同じ管理をしていけばよい。
マイナンバーの安全管理というと、厳しい対策が求められると考える向きもあるが、考え方はシンプルだ。マイナンバーは取り扱える担当者を限定しなければならないが、従業員の査定ランクや給与額、セクハラの訴えなどの情報も、限定されたごく一部の関係者しか取り扱えないというようにすでに同様の扱いをしていると思われる。マイナンバーはこれに加え、取り扱う場所を限定し、関係者以外が見られない場所で取り扱うことが求められるということだけだ。すでに従業員の査定ランクなどの情報も、同様の扱いをしているだろう。
マイナンバーだからといって身構えず、企業がすでに保管している重要情報と同様の取り扱いを原則に考えていこう。
[2]委託の可能性[図表5]
マイナンバーの保管を請け負う会社もあるので、委託するのも選択肢の一つだ。マイナンバーの取得・本人確認などを委託するよりは、保管を委託したほうが、委託先のノウハウも期待できる。なぜなら、マイナンバーの取得や本人確認は、金融機関や中古物売買業者など、本人確認を通常業務の中ですでに実施している企業を別として、現時点でノウハウを確立している会社は、あまりないだろう。その点、重要情報の保管は、金融資産、病気の情報から企業秘密、国家機密の保管まで、すでにさまざまな会社が実施してきている。サイバー攻撃対策も、すでにノウハウを持っている会社は多数存在している。したがって、マイナンバーの保管を委託することのメリットは多く、委託の選択肢として十分考えられる。
もっとも、マイナンバーの保管を委託したとしても、委託先が不正を行うおそれはあり、また委託先を監督する義務は残るので、自社で、従業員の査定ランクや給与額、セクハラ・パワハラの訴え、企業秘密などに関する重要情報の保管をすでに委託しているかどうかも踏まえて、委託するかどうかを検討していこう。その場合、後述する5.の廃棄と合わせて検討するとよい。
[図表5]<安全な保管>委託・調達の検討ポイント
[3]調達の可能性
マイナンバーの保管全体を外部の会社に委託するのではなく、自社でマイナンバーを保管するに当たって、必要な機器などを調達するという選択肢もある。例えば、以下のようなことが考えられる。
・金庫や施錠できるキャビネットを購入
・建物や部屋の入り口にセキュリティゲートやナンバーキーロックを設置
・マイナンバーを取り扱う場所を仕切るためにパーティションを購入
・マイナンバーを取り扱うパソコンののぞき見防止のためにフィルターを購入
・技術的安全管理措置のために、侵入防止システム(Intrusion Prevention System)などを購入
もっとも、これらを調達するかどうかは、マイナンバーを取り扱う量や従業員数にも大きく依存する。絶対に必要となるのは、施錠できる保管場所が今はないという企業における施錠キャビネットのみであろう。通常の業務用キャビネット、業務机の引き出しには鍵がかかるので、これらが現時点でないという企業の割合は低いだろう。
5.マイナンバーの廃棄
[1]民間企業がやらなければならないこと
マイナンバーは必要がなくなれば廃棄しなければならない。従業員については、雇用している限り、税務手続き、社会保障手続きが発生するので、マイナンバーを保有し続けてよい。一方、退職者については、その後は税務手続き、社会保障手続きが発生しないので、マイナンバーを廃棄する。とはいえ、税であれば7年、雇用保険であれば4年など、法令で保存期間が義務づけられるので、退職後すぐに廃棄せず、必要年限保存した後、廃棄しなければならない。
したがって、民間企業においては、廃棄すべき情報の切り分け、廃棄時期の管理、そして廃棄行為自体が必要となる。
[2]委託の可能性[図表6]
情報の廃棄は、すでに多くの企業で委託が行われていると考えられる。例えば、紙の溶解処分であったり、電子データの削除を外部委託している企業も多いだろう。マイナンバーについては、自社で廃棄しても当然よいものの、廃棄行為を外部委託する企業は多いと思われる。この場合、通常の情報廃棄でも同じだが、どのような方法でいつ廃棄したか、報告書・証明書を取得することが重要となる。
また、マイナンバーの保管自体を委託する場合は、廃棄すべき情報の切り分け、廃棄時期の管理、廃棄行為自体のすべてを合わせて委託すると効率的であろう。
[図表6]<廃棄>委託・調達の検討ポイント
[3]調達の可能性
マイナンバーの廃棄を外部の会社に委託するのではなく、自社で行う場合であれば、より裁断レベルの細かいシュレッダーを購入したり、電子媒体を確実に廃棄できるような機器、ドリルなどを購入することが考えられる。
以上のように、マイナンバーを従業員の給与額・人事査定ランクなどの重要情報の扱いと同様に考えれば、委託・調達の必要性を判断するときに理解しやすい。また、委託すれば後は委託先任せというわけにはいかない。「委託先の監督」が必要となることに十分注意したい。現在の自社の状況も踏まえて総合的に判断することをおすすめする。
今回は、委託・調達事項を中心に解説したので、委託先の監督については、回を改めて解説する。
 |
水町 雅子 みずまち まさこ 五番町法律事務所 弁護士 元内閣官房社会保障改革担当室参事官補佐 東京大学教養学部卒業後、現みずほ情報総研にてシステム関連業務に従事。東京大学法学政治学研究科法曹養成専攻を経て、西村あさひ法律事務所にてシステム案件・ファイナンス案件・企業法務案件に従事。その後、内閣官房社会保障改革担当室、特定個人情報保護委員会にて、マイナンバー法立法作業、プライバシー影響評価(特定個人情報保護評価)立案等に従事。現在は、五番町法律事務所を開設。 |