前回は、中小企業がマイナンバーを取り扱う最初のプロセスとなる従業員などからの個人番号の収集のプロセスにむけて準備しておくことや収集方法などについてみてきました。引き続き、マイナンバーの保管から利用までのシーンで求められる安全管理措置と、そのために何をしなければならないのかをみていきましょう。

マイナンバーの保管・廃棄、利用・提供のルール 再確認

従業員などから収集したマイナンバーは、電子データであれ、書面であれ、マイナンバーの記載が義務付けられている書類の作成に利用するまで、保管しておくことになります。 源泉徴収票などの作成を利用目的に収集した従業員などのマイナンバーは、雇用が続く限り継続的に利用されることが予定されますので、保管し続けることができます。ただし、講演料や原稿執筆料などで支払調書の作成を利用目的に収集した講演者や執筆者のマイナンバーは、講演や原稿執筆が単発の依頼であれば保管し続けることはできず、支払調書作成後は速やかに廃棄しなければなりません。

また、保存期限が決められているマイナンバー記載の書類の場合は、保存期限終了後は、速やかに廃棄する必要があります。電子データとしてマイナンバーを保管している場合、例えば退職者のように継続的な利用が予定されなくなった場合でも、利用目的とする書類の保存期限にあわせてデータを廃棄することになります。

マイナンバーの利用・提供は、源泉徴収票や給与支払報告書などのように税務署や地方自治体などの行政機関、社会保障関連では健康保険組合などに提供する場合に限られます。要は、収集時に利用目的として明示した用途以外では利用・提供はできないということです。

ここで、ひとつ気をつけておきたいことは、従業員が所得証明のために源泉徴収票を金融機関などに提供する場合です。平成28年分の給与所得から源泉徴収票へのマイナンバーの記載が必要となり、本人へ交付する源泉徴収票にも原則本人および扶養親族のマイナンバーを記載することとされています。

では、従業員が所得証明のために金融機関へ源泉徴収票を提出する場合、マイナンバーが記載された源泉徴収票を提出することになるのかというと、それは番号法で決められた利用・提供ではないため、記載されているマイナンバーを確認できない程度にマスキングして提供しなければならないとされています。こうした点をあらかじめ従業員に周知させることも大事ですが、本人の希望があればマイナンバーを記載しない源泉徴収票を発行するということもできますので、従業員から所得証明のために源泉徴収票の再発行を求められた場合に備えて、そのような対処もできるようにしておくと、従業員に対して親切な対応となるのではないでしょうか。

マイナンバーの保管、利用シーンで求められる安全管理措置

では、マイナンバーを保管、利用するシーンで必要となる安全管理措置について、「特定個人情報の取り扱いに関するガイドライン」(特定個人情報委員会:以下「ガイドライン」)にそって確認していきましょう。

マイナンバーを電子データで保管、利用する場合の物理的安全管理措置 

まず「ガイドライン」で物理的安全管理措置といわれている安全管理措置をみていきましょう。

マイナンバーを登録・保管している情報システム、具体的にはサーバーやパソコンが設置されている区域を「ガイドライン」では「管理区域」とし、サーバールームなどとして他のスペースと区切り施錠して入退室も管理できるようにすることを安全管理措置の一例として例示しています。

また、マイナンバーを取り扱う事務を行う区域、例えば個人番号欄が用意された書類を作成するためにマイナンバーが表示された状態でパソコン操作をするとか、マイナンバーが入力された書類を印刷するなどの作業を行う区域を「ガイドライン」では「取扱区域」とし、通常の事務スペースとの間をパーテーションで区切ることなどを例示しています。

さらに、マイナンバーを登録、保管しているサーバーやパソコンの盗難防止のための安全管理措置として、セキュリティワイヤーで固定することなども例示されています。

上記で取り上げた例示はあくまで「ガイドライン」で示されている例ですので、実際はそれぞれの中小企業の実態に即した安全管理措置をとればよいわけですが、どこまでやればよいのかという目安を決めることは難しいものがあります。

例えば小規模な企業でパソコン1台にマイナンバーを登録、保管している場合、施錠できる部屋を新たに作りそこにパソコンを設置し、その部屋の入退室まで管理しなければならないかというと、必ずしもそこまでの措置が求められているわけではありません。要は、マイナンバーの漏洩や紛失を防ぐために、その企業規模に応じてできる安全管理措置を取ることが大事です。

このようなケースでは、「管理区域」と「取扱区域」は区別せず、マイナンバーを保管し利用するために作業するパソコンは、作業時はマイナンバーの取扱担当者や責任者以外は画面を覗き見されないような位置に配置して作業し、使用しないときは施錠できる場所に収納し鍵の管理を責任者が行うといったやり方も、中小企業として取りうる物理的安全管理措置のあり方のひとつといえます。

なお、マイナンバーが記載された書類を保管する場合は、事務作業などで使用しないときは、必ず施錠できる書棚に保管すること、これも大事な物理的安全管理措置のひとつになります。

マイナンバーを電子データで保管、利用する場合の技術的安全管理措置

次に「ガイドライン」で技術的安全管理措置といわれている安全管理措置について見ていきましょう。

技術的安全管理措置は、電子データとして登録・保管されているマイナンバーへのアクセス制御を行うこと、これがメインとなります。給与計算などに使用されているパッケージソフトでは、マイナンバーを登録できる機能を追加するとともに、給与計算を利用できるユーザーIDにアクセス権限を設定できる機能なども追加してくるものと予想されます。こうした機能があれば、これらを適切に使用することでアクセス制御を行えばよいことになります。

給与計算に表計算を利用しているなど、アプリケーションレベルでアクセス制御ができない場合は、パソコンに標準装備されているユーザーアカウントの制御機能(パソコン起動時などにユーザーアカウントとパスワードによるログインが求められる機能)を利用することで、アクセス制御を行うことも技術的安全管理措置となります。

いずれのケースでも大事なことは、ユーザーIDやユーザーアカウントは取扱担当者や責任者一人一人にひとつずつ設定し、ひとつのIDやアカウントを使いまわししないこと。また、パスワードは第三者に漏れることがないように適切に管理することです。

プロセスをとおした安全管理措置の整理

マイナンバーの収集から、保管・廃棄、利用・提供、各プロセスのルールや求められる安全管理措置を見てきましたが、安全管理措置全体を再度整理しておきましょう。

安全管理措置には、組織的・人的・物理的・技術的の4つがあります。

組織的安全管理措置
まず、マイナンバーの取扱担当者や責任者を決め、基本方針や取扱規定を作成します。 取扱規定には、各プロセスで実施する事務作業の方法を明記し、同時に安全管理措置に基づいて運用していくことを明記しておきます。

そして実際に取扱規定に基づく運用が行われていることが確認できるように、マイナンバーが含まれる特定個人情報ファイルの利用や出力状況の記録(誰がいつ誰のマイナンバーにどのような操作をしたのかなどを内容とする記録)を残していくことが組織的安全管理措置では求められます。

人的安全管理措置
中小企業などの事業者が、取扱担当者を適切に監督し、適正な取り扱いができるように教育すること、これが人的安全管理措置となります。

教育については、取扱担当者だけでなくマイナンバーの取扱に対する他の従業員の理解を得るためにも、できれば従業員全員に、以前とりあげた政府インターネットテレビなどを活用して教育を行うことで、社内でのスムーズにマイナンバーを取り扱う環境づくりを行うことが望まれます。

また、マイナンバーを含む特定個人情報などについての秘密保持に関する事項を、就業規則などに盛り込むことも、人的安全管理措置のひとつとなります。

物理的安全管理措置
マイナンバーを電子データで取り扱う場合の、物理的安全管理措置は先に見た通りですが、上記で触れなかった措置も含めて、もう一度ここで整理しておきましょう。

・マイナンバーなどを取り扱う区域を他のスペースとパーテーション等で区切るなどの管理を行う。
・マイナンバーを登録したパソコンや電子媒体、マイナンバーを記載した書類を盗難などから防止するために、パソコンはセキュリティワイヤーで固定するかまたは施錠できる場所に収納、保管する。電子媒体や書類なども施錠できる書棚などに保管する。
・マイナンバーを登録した電子媒体などを持ち出す場合は漏えいなどを防ぐためにデータの暗号化やパスワードによる保護などの方策を講じる。
・マイナンバーを記載した書類を持ち出す場合は、封筒に封入し鞄にいれて運ぶなどの方策を講じる。
・マイナンバーが必要なくなったり、法令などで定められている保存期間を経過した場合は、マイナンバーを復元できない手段で削除または廃棄する。

技術的安全管理措置

技術的安全管理措置ついても、物理的安全管理措置同様に、ここで整理しておきましょう。

・個人番号関係事務で取り扱う特定個人情報ファイルの取り扱い範囲を限定するために担当者および責任者のみにアクセスを制御する。具体的にはユーザーID、パスワードなどでアクセス権を認証するなどの方策を講じる。
・外部からの不正アクセスをファイアウォールなどで遮断する。
・ウィルスによるデータ漏えいに備えて、ウィルス対策ソフトウェアを導入する。

以上、見てきました安全管理措置を企業の規模や実態に合わせて準備していかなければなりません。そして、この準備が整ってはじめて、マイナンバーの収集から始まるマイナンバーの取り扱いのプロセスを進めていくことができるわけです。

著者略歴

中尾 健一(なかおけんいち)
アカウンティング・サース・ジャパン株式会社 取締役
1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。