マイナンバー制度と企業のリスク

マイナンバー制度とは

マイナンバー
マイナンバー制度とは、国民一人に対し一つの個人番号を付すことで、行政手続の円滑化と国民の利便性向上、公平・公正な社会の実現を目的として、2015年1月から実施される制度です。
これによって、個人には12桁、法人には13桁の番号が割り当てられることになりますが、この番号が流出し悪用されると様々な被害が考えられ、しかも発行後は生涯変更されることがないため、一度流出すると被害は永遠に続くことになり、企業においても特に慎重な取り扱いが求められています。

増大するセキュリティーリスク

悪意ある者 個人情報の流出に関する報道が絶えない昨今ですが、IT技術の進化により様々な生活の利便性や業務の効率化が実現する一方で、犯罪にまつわるIT技術もどんどん進化していることは確かです。
また、ITを用いた犯罪はこれまでの窃盗のように目に見える現物を盗むのでない分罪悪感を感じにくい面もあるでしょうし、個人情報など機密情報の不正取得が犯罪にあたるという意識も薄いのかもしれません。
一昔前のコンピューターウィルスは悪戯目的の愉快犯が中心でしたが、現在のコンピューターウィルスは犯罪目的のものが多く、こうしている間にも毎分幾つものウィルスが誕生しています。
セキュリティーソフトのウィルス定義ファイルは現在存在するウィルスの数には殆ど追いついておらず、1日1回のアップデートでは間に合わないのが実情で、 このような状況の中でマイナンバー制度を運用するのですから、企業経営者は「知らなかった」では済まされない重い責任とリスクを同時に負うことになります。

特定個人情報とは

マイナンバー制度で利用する個人番号そのものは数字の羅列でしかなく、それだけで悪用できるものではありませんが、個人を特定できる情報との組み合わせにより悪用される可能性が生じます。
このような番号と個人の特定が可能な情報の組み合わせを「特定個人情報」と呼び、例えば番号と共に氏名と生年月日がわかればその番号が誰のものかを特定できる場合がありますので、これらを記載した文書やファイルは特定個人情報に該当します。(但し、どのような情報が特定個人情報に該当するかは、目的や場面により異なりますので具体的に法令等で定められいる訳ではありません。)
多くの企業において主に関係してくるのは、社員やその家族の情報や源泉徴収を行う外部委託者の情報となります。
政府はマイナンバー制度の実施に向けて、内閣総理大臣直轄の行政委員会として「特定個人情報保護委員会」を設置し、関係者に対する指導・助言・勧告・命令・検査などの職権を行使できるようにしていますが、その位置付けは公正取引委員会や国家公安委員会と並び特に独立性が高く強力なものとなっています。

企業の責任

個人情報保護法と番号法

マイナンバーの取り扱いに関しては、「行政手続における特定の個人情報を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下、「番号法」)に定められており、番号法は個人情報保護法を一般法とする特別法としての位置付けにあたります。
個人情報保護法の適用が5000件以上の個人情報を保有する企業に限定しているのに対し、番号法は全ての企業に適用されることとされていますが、一部の規定については一般法である個人情報保護法が適用されるため、保有する個人情報が5000件未満の企業であっても個人情報保護法が関係することに注意が必要です。
個人情報保護法では予め規定に定めた利用目的の範囲内において本人の同意があれば収集・利用できますが、番号法は限られた目的以外では本人の同意があっても情報の収集や利用を行うことは禁じられており、このことからも番号法が個人情報保護法よりも厳格な法律であることがわかります。
また、個人情報保護法には罰則規定はありませんが、番号法違反には数百万円の罰金や懲役などの重い刑罰が科されることが定められており、どんな小さな企業であろうともう情報セキュリティに関して無関心ではいられません。
法律の性格として、個人情報保護法は民間のトラブル防止や解決を目的としているのに対し、番号法は国家の資産であり行政システムの基盤である個人番号の保護を目的としたものですので、個人情報保護法に規定される個人情報の流出が民事事件としてだけ扱われる(国の立場は民事不介入)のに対し、マイナンバーを含む特定個人情報の流出が刑事事件としても(民事としても)扱われるのは当然のことと言えます。

マイナンバー制度は会社経営にどう影響する?

マイナンンバー制度の運用開始により、給与所得の源泉徴収票、給与支払報告書、健康保険・厚生年金保険被保険者資格取得届等、税務署や市区町村、日本年金機構などへ提出する書類に個人番号(マイナンバー)の記入欄が設けられ、そこに従業員等から預かった番号を記入して提出することになります。
このような事務処理を「個人番号関係事務」と呼びますが、企業の負担が増大するのはこれらの事務そのものではなく、特定個人情報を取り扱う為の社内ルールを決めた上でそれを明文化した規定等を作成することに大きな労力と細心の注意が必要となります。
規定を備えていないこと自体が法令違反ですし、また、作成した規定やマニュアルを遵守していない場合や、規定に定めておくべき事項が記載されていなかった場合は、万が一の際に言い逃れのできない状況に置かれます。

個人番号関係事務に関連する事務処理や保護すべき情報は案外多くのものがあり、それらを税理士さんや社会保険労務士さんに委託している事務であっても委託した企業は管理責任を問われます。従って、このような事務を委託する専門家とはガイドラインに定められた事項を盛り込んだ契約書を交わしておくことが必要です。
また、ガイドラインには「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」の4つが定められており、それぞれに複数の項目や基準が設けられていますので、それらを満たす対策の策定が必要となります。但し、ガイドラインは満たすべき基準を定義したものに過ぎませんので、自社に合わせた効果的で無理のない方法を一つずつ考えていくことになります。

マイナンバー制度への準備

本来は必要な時に必要なだけの情報を取得することが前提となっている特定個人情報ですが、将来も利用することが明らかな社員の情報などは事前に収集しておくことが許されています。
個人番号の配布は2015年10月には始まる予定ですので、それ以降社員やその家族の情報を集めることになりますが、本人確認などその集め方自体にも法令による規制やルールがあり、管理体制の整備や社内規定が整備されていない状態で特定個人情報を収集することはできません。
その準備はかなりのボリュームがありますので、より詳しいことは他の記事でご説明する予定ですが、ここではいますぐ始めることができる準備について記載しておきます。

1.利用目的の明確化

特定個人情報として収集する情報の利用目的は、事前に明確にした上で本人に通知する手段を設ける義務がありますが、後に利用目的を追加する場合は改めて本人に通知することが必要となります。そのような手間を回避するためには、予め全ての利用目的を網羅しておき就業規則などに記載しておく方法が考えられます。
ex) 給与所得・退職所得の源泉徴収票の作成、健康保険・厚生年金保険の届出、雇用保険の届出・・・など
※定められた行政手続き以外での利用は一切認められません。

2.事務取扱担当者の選任と教育

個人番号事務を取り扱う担当者は明確にしておかなければならず、複数の担当者が存在する場合は責任者と担当者に区分することが望ましいとされています。
関係事務を取り扱う担当者については従来から決まった方がおられるものと思いますので、その方々にはマイナンバー関係事務の担当者向け講習に参加して頂いた上で、実施記録を残しておきましょう。
このような講習会は行政機関、商工会議所、民間企業などの各団体が実施していますので、早めに日程を確認して申し込みを行っておくことをお奨めします。

3.物理的措置

特定個人情報を取り扱うエリア(事務所など)の施錠は勿論のこと、関係文書や電子媒体を保管する書庫やキャビネットの施錠を習慣化しておくことは必ず必要です。パソコン等については盗難に備え、セキュリティーワイヤーなどで固定しておくことも考えられますし、コピー機やプリンターを室内の目立ちやすい場所に設置することなども有効な対策です。
このように、物理的措置については工夫次第で大きな費用をかけずに行えることがありますので、室内を見渡しながらまずは悪意のある侵入者の立場になって考えてみるのが効果的です。その際に気付き実際に行ったことをメモしておくと、後に社内規定を作成する段階で役立ちます。

まとめ

マイナンバー制度の土台となる番号法は、関係行政機関と企業を規制する厳しい義務と重い刑罰が規定された法律で、「コンプライアンス社会」と呼ばれる現代においても、企業にとって特に大きなリスクとなる制度であることは間違いありません。とはいえ、企業で情報漏洩があった場合のリスクは刑事罰ばかりではなく、行政罰や民事責任の他、信用失墜など様々なものがありますので、情報セキュリティが義務付けられたことは、企業がそれらの脅威から身を守る手段を得る結果となるようにも思えます。
マイナンバー制度を悪用しようとする犯罪者や犯罪予備軍は既に準備を始めているとの噂もありますが、これは恐らく事実と考える方が妥当ですので、この記事をお読み頂いている皆様には是非とも有効な対策を講じて頂きたいところです。その為には、まずはできることから実施していくのが近道かと思います。