マイナンバー担当者の不安解消! 今行うべきこと [2015.08.25]
第1回 マイナンバーをめぐるよくある誤解
水町 雅子
五番町法律事務所 弁護士
元内閣官房社会保障改革担当室参事官補佐
2016年1月からの社会保障・税番号(マイナンバー)制度の導入に向け、企業に求められる対応準備もいよいよ待ったなしの段階を迎えました。
今回から『マイナンバー担当者の不安解消! 今行うべきこと』と題して、マイナンバー法の立法作業に携わられた水町雅子氏(弁護士 五番町法律事務所)のご執筆による解説記事を全8回(月2回掲載)予定でスタートします。ぜひ皆さまの実務のご参考としてお役立てください。
今回のポイント:"マイナンバーのツボを押さえる"
● 普通に業務を行うマイナンバー担当者が刑罰を科されることは、通常ない
● たとえクラウドを利用していても「委託すれば安全」ではない
● 重要度と負荷を見極め、本当に必要なところにポイントを絞って対応準備する
1.マイナンバーは怖くない
来年(2016年)1月からいよいよ本格稼働するマイナンバー(社会保障・税番号)制度。2015年10月から個人番号が通知されるため、今まさに社内準備に追われている人事担当者も多いだろう。そんな中、
「なんで私がマイナンバー担当に?」
「何から始めたらいいの?」
「全部委託先にやってもらおう」
「マイナンバー対応なんて間に合うわけない」
――という声すら聞こえてくる。そんな現場の戸惑いや不安は、マイナンバーに関する知識や理解が進めば容易に解消できるものも多く、まずはマイナンバー法のポイントを押さえることが必要だ。そこで本連載では、マイナンバーのために今行うべきことは何か、そしてマイナンバーの取り扱いのポイントは何かを、具体的に解説していきたい。
第1回の今回は、マイナンバーに関するよくある誤解と、マイナンバー対応のために行うべきことを見ていこう。
【マイナンバー制度のスケジュールと行うべきこと】 (クリックして拡大)
[注]太字は特に重要なポイント
現在の税務手続き・社会保障手続きの一項目
2016年1月からマイナンバーは、税務手続き・社会保障手続きの中で利用されることとなるが、現在行っている手続きを大きく変えるものではない。マイナンバーは、現在行っている税務手続き・社会保障手続きの中の一項目として登場するもので、マイナンバーのために、気の遠くなるような準備が求められたり、到底守れないルールが要求されたり、実務が劇的に変化するわけではない。マイナンバーの利用開始後は、現在行っている手続きに、マイナンバーを追加することになるわけだ。なお、マイナンバー自体は、社会保障・税以外に、災害対策にも利用される。ただ、災害対策は金融機関を除き、民間企業にはほぼ関係がないので、特段の対応は不要であろう。
現在の税務手続き・社会保障手続きでは、従業員やその扶養家族の氏名、住所等を書面に記載する。マイナンバー制度では、これらに加え、マイナンバーも記載することが求められる。それはなぜかというと、氏名や住所の記載だけでは、氏名・住所の変更があったり、「渡邊」「渡辺」といった表記揺れなどもあったりして、全国民や全住民を対象とする行政サービスでは、対象者管理に難が生じる場合もあるからだ。この点、マイナンバーは、氏名・住所等が変更になっても同じ番号を生涯を通じて利用し続けるので、対象者管理が正確化・効率化する。
つまり、氏名・住所と並んでマイナンバーを行政手続き上明らかにしなければならなくなる。そのため、会社でも税務手続き・社会保障手続きを行う際に、従業員やその扶養家族のマイナンバーを取り扱うことになるわけである[図表1]。
[図表1]マイナンバーが必要なワケ
2.責任に関する誤解
マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)では、マイナンバーが悪用された場合、甚大な被害が生じる可能性があるため、個人情報保護法よりも罰則と制裁が強化されている。しかし、法の趣旨は、マイナンバーを悪用する者に対して厳格な制裁をすることであり、一般人をむやみやたらに罰するものではない。したがって、企業のマイナンバー担当者が通常業務を行っている限り、制裁を受けることはほぼ想定されない。
マイナンバーに関する責任は、①刑罰、②行政対応、③民事責任に大別される[図表2]。
[図表2]マイナンバーに関する三つの責任
①普通に業務を行っていれば罰則は科されない
まず刑罰は、マイナンバー法に違反する行為があれば必ず科されるものではない。法に違反しても、例えばうっかり不要なマイナンバーを取得してしまったり、施錠するのを忘れてしまったり、本人確認を忘れてしまっても、特に刑罰は科されない。罰則はあくまで悪質な行為に限ってのものだ。例えば、暴行や脅迫によってマイナンバーを取得する、マイナンバーを売却する、他人になりすましてマイナンバーカードを受け取る等の場合に罰則が科される。企業の人事担当者が普通に業務を行う場合に、罰則が科されることは通常はないだろう。
②特定個人情報保護委員会に過敏になりすぎない
次に行政対応についても、普通の企業には関係がないだろう。マイナンバー法では、マイナンバーに関する不正を取り締まる専門機関として「特定個人情報保護委員会」という組織が設立された。例えるなら公正取引委員会や原子力規制委員会のようなところだ。違法行為がなされた場合等には、この特定個人情報保護委員会が、立入検査、報告徴収、勧告、命令等を行う。
特定個人情報保護委員会の権限は非常に強力であり、業務停止命令すら発出することができる。しかし、普通の企業が特定個人情報保護委員会の関与を受けることは少ないだろう。公正取引委員会の関与を受ける企業が少ないことを考えていただければよいだろう。また、個人情報の取り扱いをめぐって、経済産業大臣から勧告等を受けた企業がほとんどないことからも、特定個人情報保護委員会の関与が日常的に想定されるものではないことが、明らかである。
ただし、特定個人情報保護委員会がいったん関与した場合、その命令を拒んだり、検査を妨害したり、報告をしなかったりしたら、2年もしくは1年以下の懲役または50万円以下の罰金か併科になり得るので、注意が必要だ。つまり、特定個人情報保護委員会の関与を拒否することはできないが、多くの企業では特定個人情報保護委員会の関与を受ける機会は多くないので、あまりに過敏になる必要はない。
③民事責任は通常どおり
次に民事責任についてである。これは、マイナンバーに限った話ではない。企業に故意・過失があれば、個人情報を不正に取り扱った場合には、民事責任が問われ得る。マイナンバーについても同様である。その際、いくら刑事責任が問われそうにないからとか、行政対応をしなくてもよさそうだからといって、マイナンバー法に違反する行為をしていれば、故意・過失を認定され、民事責任を問われる可能性がある。
マイナンバーを過度に恐れる必要はないが、通常業務と同様に、民事責任を問われないように、またコンプライアンスの観点、レピュテーションリスク(編注:企業のネガティブな評価や評判が世間に広がることで、会社の信用やブランドが低下し、損失を被るリスク)の観点からも、マイナンバー法を遵守する必要がある。
3.委託に関する誤解
マイナンバーを持ちたくない? 委託すればOK?
マイナンバーを管理するのが不安という心配も聞こえるが、これまでも人事部では、従業員の人事査定情報、健康・メンタルヘルス状況、家族状況の変動など、プライバシー性の高い情報を取り扱ってきた。マイナンバーは個人情報の一種だ。これまでの個人情報と劇的に違う取り扱いが求められるわけではない。
また、マイナンバー業務を外部機関に委託しても、委託元の企業は責任をすべて免れるわけではない。
マイナンバーをめぐっては、「委託すれば安心」という誤解が生まれている。しかし、マイナンバーが委託先で取り扱われる場合でも、自社内で取り扱われる場合と同様に、適切な管理が必要である。そこで委託を行う場合は、委託先に対して必要かつ適切な監督を行うことが求められる(マイナンバー法11条、個人情報保護法22条)。実際問題、万が一、委託先(自社以外の会社)がマイナンバーに関して問題を起こした場合に、「委託先に任せているので、当社は関係ない」ということは法律上も、社会通念上も難しいだろう[図表3]。
委託を行う場合は、具体的にどのように委託先を監督していくのか、委託元である企業が決定していくことが求められる。
[図表3] 委託すれば安心ではないワケ
業務を外部機関に委託して委託元(企業)に監督義務がある
クラウドならOKではない
マイナンバーをクラウド業者やITベンダーなどの外部機関に管理してもらえばよいと考えている企業も少なくないだろう。クラウド等であれば、監督が必要な「委託」に該当しないという誤解がある。しかし、外部機関がマイナンバーにアクセスできれば、それは監督が必要な「委託」になる[図表4]。
通常、システム保守・運用を委託している場合、ITベンダーは個人情報を含むデータを取り扱うことができると考えられるし、またクラウド業者であっても、データを取り扱うことができる場合も多いと考えられる。常時個人番号にアクセスしなくても、いざというとき、例えばシステムが正常に稼働しなくなった、データが消えてしまったといった場合に、個人番号を含めたデータに外部機関がアクセスできれば、それは監督が必要な「委託」に該当する。当該外部機関におけるアクセス制御の状況、委託契約の内容にもよるが、クラウド等でも「委託」に該当する場合は十分に考えられるので、この点、注意が必要だ。
また、「委託」に該当しないと委託先の監督は不要となるが、その場合でも結局自社に安全管理措置義務が課されるため、クラウド上のマイナンバーが不正に取り扱われたり漏えいしたりしないよう、自社として責任を持たなければならない。
[図表4]マイナンバーへのアクセス権があるかないか
4.マイナンバー準備
では、マイナンバー対応のために何を行えばよいか。[図表5]に項目を示した。
[図表5]マイナンバー準備リスト
[注]★の数が多いほど重要度、負荷度が高いことを表す。
| 番号 | 項目 | 重要度 | 負荷 | ポイント |
| ① | 取り扱い場面の洗い出し | ★★★★★ | ★★★ | |
| ・マイナンバーの対象者を把握 |
・従業員と扶養家族以外の洗い出し |
|||
| ・利用目的を把握 | ||||
|
・現行の事務フロー、提供先、委託先、ルールを確認 |
||||
| ・マイナンバー後の事務フローをシミュレーション | ||||
| ・取り扱い情報のリスト化 | ||||
| ② | 取得・本人確認 | ★★★★★ | ★★★★★ | |
| ・取得方法を決定 | ・混乱なく取得できる方法 | |||
| ・本人確認方法を決定 | ・入念な検討・周知 | |||
| ・周知文を作成 |
・マイナンバーを取得する対象者に対し、取得方法・本人確認方法をわかりやすく示すこと |
|||
| ③ | システム | ★★★★ | ★★ | |
| ・発注、進捗管理 | ||||
| ・アクセス制御を確認 |
・必要な者以外がマイナンバーにアクセスできないようにすること |
|||
| ・廃棄 |
・不要時を把握し、安全・確実に廃棄できる方法の検討 |
|||
| ・ログの記録内容を確認 |
・物理的安全管理措置上の取り扱い記録とできるか確認 |
|||
| ・現行の物理的安全管理措置を確認 | ||||
| ・現行の技術的安全管理措置を確認 | ||||
| ④ | 安全管理措置 | ★★★★ | ★★★ | |
| ・事務担当者、責任者を決定→体制整備 | ||||
| ・事故発生時の体制や対応を整備 |
・事故を未然に防止するために機能する体制・方法に ・事故発生時に迅速に行動できる体制・方法に |
|||
| ・担当者その他従業者の監督方法の決定 | ||||
| ・取り扱い記録の検討 | ||||
| ・点検方法の検討 | ||||
| ・取り扱い場所の制限方法を決定 | ||||
| ・盗難対策方法を決定 | ||||
| ・持ち出し時の措置を決定 | ||||
| ・廃棄方法を決定 | ||||
| ・技術的安全管理措置を決定 | ||||
| ⑤ | 委託 | ★★★ | ★★★ | |
| ・委託するか、再委託を認めるかの決定 | ||||
| ・委託先の選定基準を決定 | ||||
| ・委託先の点検方法を決定 | ||||
| ・委託契約書を点検 | ||||
| ・再委託の許諾基準を決定 | ||||
| ・再委託に求めるルールを決定 | ||||
| ⑥ | 事務フローの再確認 | ★★★★ | ★★★★ | |
| ・取扱規程を作成 |
・①から⑤で検討してきたことをまとめる |
|||
| ⑦ | 従業員研修 | ★★★ | ★★ | |
| ・教育 | ・取扱規程を基に研修 | |||
| ・就業規則を確認 | ||||
| ⑧ | プライバシーポリシー | ★★★ | ★★ | |
| ・基本方針を作成 | ||||
| ・プライバシーポリシーを見直し | ||||
各フローのポイント
[図表5]に沿って順に見ていこう。まずは、①取り扱い場面を洗い出そう。これをやらなければ、マイナンバー対応を具体的に進めていくことができない。この際のポイントは、従業員とその扶養家族以外に、誰のマイナンバーを取り扱うかだ。
その後の一番の山場は、②取得・本人確認である。対象が従業員だけであれば、それほどは問題が生じないとも考えられるが、従業員とその扶養家族以外のマイナンバーを取り扱う場合、具体的には講師や原稿執筆の依頼等で社外の人に報酬を支払うケースでは、取得・本人確認に関する検討を入念に行おう。
次のポイントは、④安全管理措置と⑤委託である。自社で、そして委託先でどのようにマイナンバーを安全に管理していくか、特定個人情報保護委員会から公表されているガイドライン等を参考に決定していこう。委託を行わない場合は、⑤委託の検討は不要である。なお、安全管理措置と委託は、個人情報保護法上も求められていたものであるので、過度な身構えは不要である。従前行われてきた措置を確認し、マイナンバーのために改めるべきところは改めていくスタンスで臨もう。
また、⑥事務フローの再確認(基本方針作成や取扱規程の作成)は、マイナンバーに関するもろもろの検討が終わってから行ったほうが効率的だ。まず手始めに基本方針や取扱規程といった書類を作成しようとする企業も見られるが、これらの文書は、形だけ整えればよいというものではない。特に取扱規程は、実際に誰がどうやってマイナンバーを取り扱い、社内ではどのようなルールを設けるかを、具体的に記載することが必要だ。これはいわば内部マニュアルのようなものであり、社内での取り扱い方法を検討するより前に作成してしまうと、社内の実態とはかけ離れたものとなり、意義が乏しくなる。これを基に⑦従業員研修を行うとよいだろう。裏返していえば、従業員研修が行えるほど、具体的なマニュアルとしたほうがよいということだ。
以上の項目のポイントについては、第2回以降に詳しく解説する。
次回以降の予告
第2回 取り扱い場面の洗い出し―今の事務をベースにマイナンバーを考えよう
第3回 従業員への事前周知の徹底
第4回 マイナンバーに関するルールのポイント
第5回 安全管理措置のポイント
第6回 委託のポイント
第7回 調達準備、コスト
第8回 規定・様式の準備と従業員への教育・研修
[注]構成・内容は都合により変更となる場合があります
 |
水町 雅子 みずまち まさこ 五番町法律事務所 弁護士 元内閣官房社会保障改革担当室参事官補佐 東京大学教養学部卒業後、現みずほ情報総研にてシステム関連業務に従事。東京大学法学政治学研究科法曹養成専攻を経て、西村あさひ法律事務所にてシステム案件・ファイナンス案件・企業法務案件に従事。その後、内閣官房社会保障改革担当室、特定個人情報保護委員会にて、マイナンバー法立法作業、プライバシー影響評価(特定個人情報保護評価)立案等に従事。現在は、五番町法律事務所を開設。 |
管理職のeラーニング講座、お試しできます
無料トライアル受付中
禁無断転載
▲ ページの先頭に戻る
