INTERVIEW

マイナンバーの漏洩リスクを抑える管理体制 いま取り組むべきことの
優先順位を見極める

法律の趣旨を考えると、リスク回避のためにも
本人確認を厳格に行うことをお勧めします

実際にマイナンバーを収集する際に、注意すべきことは何でしょう?

日本のマイナンバー制度は、なりすまし防止のために「本人確認」を厳格に行うよう定めている点が大きな特徴です。現時点では、本人確認方法について国税庁関連の告示はありましたが、厚生労働省関連の告示は出ていません。国税庁の告示には「雇用契約成立時等に本人であることの確認を行っている雇用関係その他これに準ずる関係にある者であって、知覚すること等により、個人番号の提供を行う者が通知カード若しくは令第十二条第一項第一号に掲げる書類に記載されている個人識別事項又は規則第三条第一項各号に掲げる措置により確認される個人識別事項により識別される特定の個人と同一の者であることが明らかな場合」には書類での本人確認は不要だとあります。
※2015年11月10日に厚生労働省から雇用保険関係の本人確認方法について告示されました。

採用時に本人確認をしていれば、マイナンバーの提供を受けるときにあらためて本人確認しなくてよいということなのですが、ここには注意が必要です。実は、従来は雇用管理の原則として「プライバシーの観点から必要以上に個人情報を収集してはいけない」とされていました。ですから、採用時などに一律に「戸籍謄(抄)本」や「住民票の写し」などを提出させるのではなく、特に必要になった場合に「住民票記載事項証明書」などで処理するようにとされています。

つまり、「住民票記載事項証明書」によって本人確認を行っている企業・団体はあっても、免許証やパスポートなどの写真入りの書面で本人確認している企業・団体は、厳格な本人確認が義務付けられている警備業や運転免許証の所有確認が必要な運送業など、一部に限られているということです。このことから、「なりすましを防止する」という法律の趣旨を考えると、この機会にあらためて本人確認を徹底しておくことが、将来を見越した大きなリスク管理の一つとなると言えます。

そのほかに、ポイントとなる点があれば教えてください。

就業規則の改定より優先すべきは取扱規程の作成

基本方針や取扱規程を策定するときに、就業規則も改定しなければならないのかという質問を多く受けます。マイナンバーの提供や本人確認への協力や万が一の漏洩時の懲戒規定など加えることが考えられます。ただし、マイナンバーの取扱規程は従業員だけでなく、経営者や役員などを含む全従業者が対象ですから、まずは取扱規程をしっかり作ることを優先してください。

マイナンバーを名簿などに記載しない

マイナンバーを収集した際に、従業者の名簿の末尾にマイナンバーを記載して一覧を作成するといったことはしないでください。マイナンバーとともに名前や住所などの情報が管理されると、それだけで特定個人情報となるため、管理の徹底や取り扱い時の記録、適切な廃棄・削除などが必要になります。

返戻書類にはマイナンバーは記載されない

雇用保険の申請などでマイナンバーを記載した書類を届け出た場合でも、管轄役所からの返戻書類にはマイナンバーは記載されません。つまり、申請手続きをする担当者は事務取扱担当者である必要がありますが、それ以降の事務処理は従来どおりの手順で構いません。

手続きは電子申請を活用する

入退社等の手続きで、マイナンバーを記載した書類を役所に郵送することが考えられます。『取扱いガイドライン』において、「特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。」とされています。法的に「普通郵便はダメ」としていませんが、安全管理の観点から書留郵便等を利用することが望ましいと考えます。ただし、コストが非常にかかるという問題が発生しますので、費用対効果の観点から、電子申請を積極的に利用することを推奨いたします。

委託先から漏洩しても責任が問われる

マイナンバーの収集や管理を請け負うクラウドサービスなどが各社から提供されていますが、こうした委託先から特定個人情報が漏洩した場合も、監督責任が問われる場合があります。委託先を選定する場合はサービス費用だけではなく、信頼できるだけの十分な安全管理措置が取られているかを確認することが大切です。

廃棄・削除は復元できない方法で行う

廃棄や削除については、復元できないように処理される必要があるため、システムで管理している場合で、「削除フラグ」などが付与されて削除扱いになっているだけの状態では、適切に廃棄・削除されたとは言えません。ですので、確実に廃棄や削除が行われるような仕組みかどうかを確認した上で、手順を定めることを忘れないでください。

制度開始が目前に迫ったといっても慌てないことが大切だということですね。

そうです。まずは「基本方針」と「取扱規程」を策定すること。さらに、事務フローにそって手順を整理して、可能であれば「手順書」を作ることが、実務レベルでのリスクを抑えることにつながります。すでにこうした準備ができているという企業・団体の場合も、最終点検を十分に行うことが大切です。

その中で、マイナンバーを取り扱う人を最少人数にすること。そして、われわれのような社会保険労務士などにマイナンバーに関係する事務を委託される場合や、収集や管理のクラウドサービスなどを利用する場合には、外部との窓口となる方もできるだけ限定することが大切です。外部委託先とのやりとりの中で窓口が複数あると、それだけリスクが高まりますし、万が一漏洩が起きてしまった場合、再発防止のための原因追究も難しくなるからです。

その上で不安があれば整備を行い、従業者のマイナンバーを収集する必要がある手続きに間に合うように準備を進めればよいと思います。私の個人的な感覚としては、来年の前半のうち(6月くらいまで)に収集を進め、収集しきれていない従業者への対応も含めて10月ごろに完了するようなスケジュールを立てるのが現実的ではないかと考えています。

現時点では厚生労働省関連では正式に告示されていないものも多くあり、まだ流動的な部分が多くあります。また、マイナンバーは2018年に医療分野で使用される医療等IDと連携することが決まっているなど、その利用範囲が拡大していく予定ですので、取扱規程や手順書などについては、状況の変化に合わせて適宜修正していくことが前提になります。つまり、継続的に対応できる体制作りが必要になりますので、一度に完全に仕上げようとせず、PDCAサイクルが機能するような体制ができているかという観点で準備を進めることが大切だと思います。

(2015年9月取材 / 「SKYSEA Client View NEWS vol.45」 2015年11月掲載)
情報誌『SKYSEA Client View NEWS』のご紹介
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら