【連載】

中小企業にとってのマイナンバー制度とは?

53 年末調整直前 今からでも間に合うマイナンバー対策 その4

53/69

従業員などのマイナンバーは、源泉徴収票など法定調書や給与支払報告書などに記載して来年1月に提出すると、以降は次の年の1月まで、従業員の退社があるときくらいしか利用することはありません。このように継続して雇用関係にある従業員のように次の年も継続的にマイナンバーの利用が予定されるものについては、「紛失・漏えいしないこと」に留意して「保管」しておくことになります。

一方、支払調書の支払先で、スポットで講演や原稿を依頼し今回は支払調書にマイナンバーを記載して提出しますが、来年は講演や原稿を依頼する予定がない場合は、支払先から取得したマイナンバーを「廃棄」しなければなりません。

今回は、この「保管」および「廃棄」のポイントをみていきましょう。

マイナンバー 保管できるもの・できないもの

従業員やその扶養親族のマイナンバーについて、個人情報保護委員会の「特定個人情報の適正な取り扱いに関するガイドライン(事業者編)」(以下「ガイドライン」)では、「雇用契約等の継続的な契約関係にある場合には、従業員等から提供を受けた個人番号を給与の源泉徴収事務、健康保険・厚生年金保険届出事務等のために、翌年度以降も継続的に利用する必要が認められることから、特定個人情報を継続的に保管できると解される」としています。

また、「ガイドライン」では、「土地の賃貸借契約等の継続的な契約関係にある場合も同様に、支払調書の作成事務のために継続的に個人番号を利用する必要が認められることから、特定個人情報を継続的に保管できると解される」としています。

つまり、従業員やその扶養親族のマイナンバーは、雇用契約など継続的な契約関係を条件に保管しておくことができます。同様に支払調書の支払先の個人事業主のマイナンバーでも継続的な契約関係にあれば保管しておくことができます。

一方、上記のような継続的な契約関係にない場合、例えばスポットで講演や原稿執筆を依頼し、その年は支払調書の金額要件を満たしたため、マイナンバーを取得し支払調書を作成・提出したケースでは、翌年は講演や原稿執筆を依頼しないことが明らかであれば、マイナンバーを保管し続けることはできません。この場合は、当該マイナンバーが不要となったことが明らかな時点で速やかに「廃棄」しなければなりません。

マイナンバーの保管で「紛失・漏えいしない」ための安全管理措置、

「ガイドライン」では、マイナンバーを保管したコンピュータ機器(サーバーやPC)に対して、物理的安全管理措置や技術的安全管理措置を講じることを求めています。

物理的安全管理措置では、「特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という)を明確にし、物理的な安全管理措置を講ずる」としています。

この「取扱区域」は、間仕切りの設置や座席配置の工夫などでマイナンバーを取り扱う事務を行っているときに覗き見などされないようにすることなどがポイントですので、マイナンバーの利用時の課題として中小企業でもそれ相応に対応することは難しいことではないと考えられます。

一方「管理区域」については、「ガイドライン」の例示では、「管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ持ち込む機器等の制限等が考えられる。」とし、「入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる」としています。

実際のところ、中小企業では、ここまでの管理をするのは難しいのではないでしょうか。だとすれば、マイナンバーを登録したコンピュータ機器を守るために、できることをやるしかありません。マイナンバーを登録したコンピュータについては、担当者・責任者しかログインできないようにして、他の従業員は操作できないようにするなどの「技術的安全管理措置」で守るようにし、盗難防止のためにセキュリティワイヤなどで固定するなどの措置を講じることです。また、「ガイドライン」では電子媒体などでマイナンバーを持ち出す際の安全管理措置なども例示されていますが、一度保管したマイナンバーは制度上必要なケースで利用する以外は、紙であれ電子であれ持ち出ししないことを徹底したほうが紛失・漏えいのリスクを低減することになります。この点は、保管している間の運用において、徹底したいポイントになります。

次に、「技術的安全管理措置」では、主にアクセス制御や外部からの不正アクセスの防止が課題になります。

アクセス制御は、上述のとおり担当者や責任者しかログインできないようにIDやパスワードで制御することになりますが、アクセス制御されているだけでは不十分です。マイナンバーですでに逮捕者もでています。悪意をもった従業員がいないとも限りませんので、担当者・責任者それぞれが責任をもってID・パスワードを厳格に管理することが重要です。また、マイナンバーへのアクセスや操作についてはログが取れるようにしておき、不正なアクセスがあってもすぐにわかるようにしておくことで、社内での不正なアクセスを抑制することも大事なポイントとなります。

次に、外部からの不正アクセスに対しては、ファイアウォールを設置し、ウィルス対策ソフトを導入し常に最新バージョンへアップデートするといったことをするしかありません。この不正アクセスについては、巧妙なタイトルのメールなどでアクセスしてくるケースなどもありますので、少しでも不審に感じたメールや添付ファイルは開封しないなども徹底しておきたいポイントになります。

マイナンバーを事業所内のコンピュータ機器に保管するとなると、以上のような安全管理措置を講じたうえで、日々問題なく運用されているかチェックしていく必要があります。安全管理措置で費用が発生するうえに、「守る」ためのチェックにそれなりの時間をかけることになります。

これがクラウドのマイナンバー管理サービスであれば、事業所内にマイナンバーを「持たずに管理」できますので、最低でもガイドラインでいう「管理区域」に対する安全管理措置は不要になります。「取扱区域」に対する安全管理措置やアクセス制御におけるID・パスワードの管理は、クラウドのマイナンバー管理サービスでも必要となりますが、セキュリティ対策にかける費用は格段に安くなります。また、中小企業独自では対策を講じることが難しい火災や震災などからも、安全にデータを保全するデータセンタでマイナンバーが管理されますので、これから、長い期間にわたって、保管・管理していかなければならないマイナンバーを考えると、「保管」の面からもクラウドのマイナンバー管理サービスをお勧めいたします。

マイナンバー 「廃棄」のタイミングと方法

マイナンバーを「保管」できるのは、継続的な契約関係にあり今後もマイナンバーを利用することが予定される場合に限定されます。これに該当しないケースでは、取得したマイナンバーが不要になった時点で「廃棄」しなければなりません。

例えば、講演や原稿の執筆などを依頼したケースで、今回は「報酬、料金、契約金及び賞金の支払調書」を作成するために依頼先からマイナンバーを取得しているケースで、翌年は同じ依頼先に依頼することがないのであれば、そのことが明らかになった時点で当該マイナンバーを「廃棄」しなければなりません。実務的には、こうした支払調書の対象となるマイナンバーは、毎年年末から翌年初にかけてチェックすることになるでしょうから、その時点で不要なものを抽出し「廃棄」するというタイミングでもかまいません。

従業員やその扶養親族のマイナンバーも、従業員が退職すれば「廃棄」の対象になります。では、退社後すぐに「廃棄」して良いかというとそうはいきません。

国税庁の源泉所得税関係に関するFAQのQ1-9では、「退社した従業員等であっても、扶養控除等申告書や退職所得の受給に関する申告書等については7年間の保存義務が課されていることから、申告書等に記載されたマイナンバー(個人番号)はこれらの申告書の提出期限の属する年の翌年1月10日の翌日から7年間は保管しなければなりません」としています。扶養控除等申告者にマイナンバーを記載せずに運用している場合でも、同じ扱いになりますので、退職者の場合はその従業員が最後に提出した扶養控除等申告書の法定保存期間まではマイナンバーを保管しておき、法定保存期間経過後に「廃棄」することになります。

退職から7年間はマイナンバーを保管し続け、7年経過後に「廃棄」するというのは、法定書類の保存期間に基づいて決められたことではあります。ただし、もともと提出が求められるわけではなく事業者に保管だけが義務付けられた扶養控除等申告書のような書類の保存期間をベースに、利用することのなくなった退職者のマイナンバーを「保管」しつづけることを事業者へ求めることには違和感があります。この退職者のマイナンバーは、在職中は源泉徴収票や給与支払報告書に記載されて行政当局に提出されているので、本来の目的に沿った運用はすでに行われていることを考慮すれば、利用することのなくなった退職者のマイナンバーを「保管」しつづけることは、中小企業にとっては負担でしかありません。このことを考えると、当局には、退職者のマイナンバーの「廃棄」の現状の運用については再考を求めたいところです。

とはいえ、現在は上記のような決まりがありますので、退職者のマイナンバーは退職後すぐに「廃棄」することはできず、7年経過後に「廃棄」することになります。現在提供されているマイナンバー管理システムでは、期限がきたらアラートを出すなどの機能を備えてこれに対処しようとしていますので、これらの機能により、時期がきたら「廃棄」するという対応をすることになります。

では、マイナンバーの「廃棄」とはどのような方法で行えばよいのでしょうか。

電子データで管理している場合は、復元できないようなかたちでマイナンバーを削除することになります。「復元できない」ことは、マイナンバー管理システムを提供するベンダーがそのように削除機能を作り込んでいると考えられますので、その機能を利用して削除すればよいことになります。また、書面でもマイナンバーが管理されている場合は、焼却や溶解など復元不可能な方法で廃棄することになります。

そして、中小企業の場合は責任者が削除・廃棄されたことを確認することが求められていますので、削除・廃棄したことの記録と同時に責任者が確認したことも記録しておくとよいでしょう。

ここまで4回にわたって、源泉徴収票など法定調書や給与支払報告書など本格的なマイナンバーの利用を来年1月に控えて、改めてマイナンバーの収集・利用・保管・廃棄について整理してきました。これらの各プロセスでマイナンバーを「紛失・漏えいしないこと」をポイントに、マイナンバーにかかわる運用フローや安全管理措置を見直すきっかけにしていただければ幸いです。

著者略歴

中尾 健一(なかおけんいち)
アカウンティング・サース・ジャパン株式会社 取締役
1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。

53/69

インデックス

連載目次
第69回 マイナポータルおよびマイナンバー制度情報連携 試行運用開始
第68回 法人税等の電子申告義務化に向けた基本計画
第67回 2017年 「世界最先端IT国家創造宣言・官民データ活用推進基本計画」をみる(3)
第66回 2017年 「世界最先端IT国家創造宣言・官民データ活用推進基本計画」をみる(2)
第65回 2017年「世界最先端IT国家創造宣言・官民データ活用推進基本計画」をみる(1)
第64回 特別徴収税額通知書 “官”からマイナンバーがやってきた
第63回 デジタルファーストを目指す政府 法人税電子申告義務化へ
第62回 電子申告とマイナンバー制度
第61回 「特別徴収税額決定通知書」へマイナンバーが記載され通知されることの影響
第60回 マイナポータル・行政機関間での情報連携 本格運用は10月以降へ
第59回 1月~3月 マイナンバーの本格利用の時期を終えて
第58回 政府が進める「デジタルファースト」への流れとマイナンバー制度
第57回 マイナンバー本格利用 次は所得税確定申告
第56回 マイナポータル 2017年7月本格スタートのサービス概要
第55回 2017年におけるマイナンバー制度の動き
第54回 2017年におけるマイナンバー利用の動き
第53回 年末調整直前 今からでも間に合うマイナンバー対策 その4
第52回 年末調整直前 今からでも間に合うマイナンバー対策 その3
第51回 年末調整直前 今からでも間に合うマイナンバー対策 その2
第50回 年末調整直前、今からでも間に合うマイナンバー対策 その1
第49回 マイナンバーカード・マイナポータルの活用促進をめぐる総務省の動き その2
第48回 マイナンバーカード・マイナポータルの活用促進をめぐる総務省の動き その1
第47回 マイナンバー制度、今後のスケジュールを再整理する
第46回 なかなか進まない支払先からのマイナンバー収集
第45回 経済産業省版法人ポータル(β版)など法人番号をめぐる動き
第44回 行政側のマイナンバー制度へのシステム対応 現状の動きを確認する
第43回 中小企業・小規模事業者からマイナンバー取り扱いの委託を受ける税理士の現状
第42回 マイナンバー対応 準備を順調に進めている企業と進まない企業
第41回 世界最先端IT国家創造宣言とマイナンバー制度
第40回 マイナンバーが記録されているパソコンは修理できない?
第39回 平成28年度税制改正でマイナンバーの取り扱いはどう変わったのか?
第38回 動き出した企業版マイナンバー(法人番号)の利用が与える影響
第37回 マイナンバーカードは民間活用でどのようなメリットがもたらされるのか
第36回 多くの企業がメリットを感じない、マイナンバー制度の課題を考える
第35回 新入社員を迎える季節 継続的にマイナンバーを管理・運用できる体制作りを
第34回 中小企業のマイナンバー対応 システム選択? 外部委託? 現状の傾向を探る(2)
第33回 中小企業のマイナンバー対応 システム選択? 外部委託? 現状の傾向を探る(1)
第32回 あいつぐマイナンバー制度のトラブル 中小企業への影響を考える
第31回 個人事業主のマイナンバー利用 今後のスケジュールを整理する
第30回 マイナンバー利用開始1カ月 マイナンバー利用の課題を考える
第29回 マイナンバーの取り扱い 中小企業から委託を受ける税理士などの最新動向
第28回 マイナンバーとマイナンバーカードの役割を考える
第27回 マイナンバー利用開始 すぐマイナンバーの記載が必要な書類・時期を再整理
第26回 平成27年分年末調整業務進行中 来年を見据えて準備しておきたいこと
第25回 マイナンバーの収集、今年中に収集するか? 来年に入って収集するか?
第24回 マイナンバーの通知と中小企業の取り組み 最新状況
第23回 中小企業向けマイナンバー商戦 現状整理
第22回 マイナンバー制度への対応を中小企業の本格IT化のきっかけに
第21回 法人番号の通知・公表スタート 中小企業に与える影響を考える
第20回 マイナンバー通知本格化 いよいよ本番 中小企業のマイナンバー対策
第19回 中小企業のマイナンバー対策 システム選びが成否をにぎる? (その2)
第18回 中小企業のマイナンバー対策 システム選びが成否をにぎる? (その1)
第17回 マイナンバー利用開始 間近に迫る 今中小企業は何をすべきか?
第16回 マイナンバー通知カードの送付始まる 待ったなしで始まるマイナンバー制度
第15回 税理士などにマイナンバーの取り扱いを委託する場合のシステム連携の課題
第14回 マイナンバーの保管・廃棄 システムで異なる安全管理措置
第13回 マイナンバーの利用・提出 よりセキュアに対応するためにほしい機能
第12回 マイナンバーの収集 システムで異なる業務運用
第11回 IT活用で対応するマイナンバー対策 システム比較
第10回 マイナンバー対策を契機にIT活用を見直す
第9回 法人番号とマイナンバー制度の将来像
第8回 マイナンバーの取り扱いを税理士事務所などに委託する場合
第7回 マイナンバーの保管、利用シーンで求められる安全管理
第6回 マイナンバーの収集で注意すべきこと
第5回 マイナンバー制度 中小企業に与える影響
第4回 中小企業が「個人番号関係事務実施者」として行う実務内容と必要な準備
第3回 すべての中小企業が「個人番号関係事務実施者」へ
第2回 マイナンバー制度の概要と今後のスケジュール
第1回 マイナンバー制度で業務のここが変わる!

もっと見る



人気記事

一覧

イチオシ記事

新着記事