マイナンバーを、特に!企業で取り扱う時に落とし穴になりそうな5つのポイント  |  政治・選挙プラットフォーム【政治山】

  • このエントリーをはてなブックマークに追加
トップ    >   記事    >   マイナンバーを、特に!企業で取り扱う時に落とし穴になりそうな5つのポイント

マイナンバーを、特に!企業で取り扱う時に落とし穴になりそうな5つのポイント (2016/2/9 ESET セキュリティブログ

関連ワード : セキュリティ マイナンバー 

2015年の年末調整対応など、企業内でのマイナンバーの取り扱いは、実務担当者の方、特に経理や総務を担当されている方に影響が及んでいることと思います。

マイナンバーの落とし穴

マイナンバーの取り扱いは、個人レベルでも厳重に扱われるべきものですが、従業員の皆さんのマイナンバーをとりまとめている企業の実務担当者の方にすれば、かなり気を遣う業務になっているのではないでしょうか?

マイナンバーは正しく取り扱わないと法令違反には懲役や罰金の罰則があり、企業は適切な対応が求められます。
(正当な理由なく故意に情報を漏えいさせた場合には、刑事罰が科せられます。)

マイナンバー管理責任者、経理、総務の方は注意!

企業内でマイナンバーを取り扱う際の大きな流れは次のようになります。
1. 社内規定を整備したり、社内ルールを決めたりした上で、社内研修を実施する。
2. マイナンバーを従業員から収集する。
3. 管理責任者が保管・廃棄する。
4. 提出義務がある書類にマイナンバーを記載し、関係省庁に提出する。

実際に、企業内で直接マイナンバーに関連する方といえば、マイナンバーの管理責任者と、経理の方は給与計算に関わる書類(源泉徴収票や支払い調書など/税務署向け)の処理で関わり、総務の方は人事・労務の書類(雇用保険被保険者資格取得届/ハローワーク向け、や厚生年金保険資格取得届け/年金事務所向け)が関わることになります。

管理責任者が誰なのか? 経理や総務でどのように取り扱っていくのかを十分に検討しておく必要があります。

マイナンバーの「保管期間」に注意!

民間企業が個人番号を取り扱うのは「給与事務、法定調書作成等の事務(個人番号関係事務)」のみで、これ以外に利用することはできません。

そして、マイナンバーは保護制限があり、法律で限定的に明記された場合を除き、特定個人情報を保管してはなりません。

そのため、書類の作成事務を処理する必要がなくなり、法令に定められた保存期間を経過した書類は、マイナンバーをできるだけ速やかに廃棄又は削除しなければなりません。

例えば、扶養控除等申告書や配偶者特別控除申告書の保管期間は7年となっています。
もし退職者が発生した場合には、退職者のマイナンバーを、7年保持後に廃棄する義務があります。

マイナンバーの「保管場所」に注意!

マイナンバーを管理する場合、自社で管理する方法と、管理業者に委託する方法が主流になります。

自社で管理する場合、安全管理措置を徹底しつつ、定めた場所に厳重に保管する必要があります。紙で管理する場合は鍵のついた書庫や金庫に、データで管理する場合はセキュリティの確かなサーバーなどに保管することになりますが、自社で管理する際に落とし穴になるのが、クラウドサービスに保管している方です。

クラウドサービスに保管する場合は、自社で保管しているとは判断されず、クラウドサービスにデータ管理を「委託」していることになります。
委託先には、マイナンバー管理にあたり、安全管理措置などが義務付けられます。
委託先が別の業者にさらに委託(再委託)する場合は、委託元の許諾を得た場合に限り、再委託できます。

マイナンバーを書いた資料でも、「何が保管義務となるのか」に注意!

何をどれだけの年数保管する義務があるかについては、法律で規定されています。

「行政手続における特定の個人を識別するための番号の利用等に関する法律」
記録の義務【第23条、第26条、令第29条、平成26年内閣府・総務省令第85号第47条】
第23条第1項及び第3項(第26条により準用する場合を含む。)の規定によると、

総務大臣、情報照会者及び情報提供者は、情報提供ネットワークシステムを使用して特定個人情報の提供の求め又は提供があった場合には、情報提供ネットワークシステム及び情報提供ネットワークシステムに接続された各自のサーバーに、次に掲げる事項を記録し、7年間保存しなければならない。

(1)情報照会者及び情報提供者の名称
(2)提供の求めの日時及び提供があったときはその日時
(3)特定個人情報の項目
(4)提供の求めに係る事務をつかさどる組織の名称
(5)情報照会者の処理する事務
(6)提供の求めが第21条第2項各号(第26条により準用する場合を含む。)に掲げる場合に該当する場合はその旨
(7)(4)から(7)までに掲げるもののほか、総務大臣が定める事項
※出典(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)

とあります。

むやみやたらに資料を保管するのではなく、何をどのように保管すべきなのかを明確にしておく必要があります。

収集の際は「本人確認」「利用目的を明確に伝える」

マイナンバーの収集担当者は従業員や取引先にマイナンバーの提出を求める際に、本人確認を確実に行いながら、利用目的を明確に伝える義務があります。複数の利用目的があっても、1回の収集で利用目的を提示することは可能ですが、従業員(扶養親族も含む)のマイナンバーを目的と異なる利用をした場合は罰則が定められていますので、不正収集は厳禁です。

従業員に強硬に拒まれた場合には、書類提出先の機関に問い合わせ、指示に従うことになります。

従業員からすると、会社へマイナンバーを提出したり、通知することは強制ではなく、拒否しても罰則はありません。

会社によって就労規則などにルール化されているところもあるので、注意が必要です。

データ保管の場合は「セキュリティ」に注意!

マイナンバーの保管場所として、不正アクセス対策がなされていない、またはアンチウイルス対策なども不十分な保管場所であれば、不正アクセスやウイルスの脅威がやってきた際の被害が大きくなる傾向があります。

マイナンバーとしては制度が始まったばかりですが、限りなくリスクを低下させるため、実績のあるセキュリティーソフトやサービスを利用することが望ましいと考えられます。

マイナンバーについては、過去に幾つかの記事を公開しています。振り返りには、そちらもご確認ください。
・住基カードとはなにが違う?
http://blog.eset-smart-security.jp/2015/11/mynumber03.html
・企業のセキュリティ対策は大丈夫?
http://blog.eset-smart-security.jp/2015/10/blog-post_13.html
・マイナンバー制度がはじまるにあたって気をつけること
http://blog.eset-smart-security.jp/2015/09/blog-post.html

提供:ESET セキュリティブログ

関連ワード : セキュリティ マイナンバー