OBC 360° |【勘定奉行のOBC】

自社のマイナンバー管理は大丈夫?法改正のポイントや適切な管理方法を解説|OBC360°|勘定奉行のOBC

作成者: 人事・総務(人事給与)|2024年11月07日

企業は、従業員が持つマイナンバーを適切に収集・管理しなければなりません。2021年以降の法改正で企業にとってもマイナンバーの活用範囲が拡がった一方、これまで以上に管理の徹底強化も求められます。
そこで今回は、マイナンバーの管理について、2024年〜2025年に施行される法改正にも触れつつ、管理上の注意点や適切に管理するためのポイントを解説します。

目次

マイナンバーとは

マイナンバーは、住民票を持つ日本国内の全住民(外国人を含む)に付番される、12桁の番号です。
マイナンバー法(2016年施行)により導入されたもので、個人的な社会保障・税・災害対策に関する情報など、様々な重要個人情報がこの番号に紐付けられています。一度付与されたマイナンバーは、原則、生涯同じ番号を使うため、個人情報保護法による「特定個人情報」に該当し、厳重な保護と罰則により守られています。

※ 個人情報保護法では、個人情報は「生存する個人に関する情報」が前提となっているため、亡くなられた方のマイナンバーは「特定個人情報」には該当しません。

出典:個人情報保護委員会事務局 PDF「「個人情報」と「特定個人情報」~正しい理解のために~ (事業者用)

企業では、社会保障や税に関する手続き業務において従業員のマイナンバーを利用する必要があります。そのため、マイナンバー法では企業に対して、従業員からマイナンバーを適切に収集・管理することが義務づけられています。

ただし、従業員側に提出を義務づける規定はなく、企業には提出を強制することはできません。
万が一マイナンバーが漏洩すると、業務担当者だけでなく、管理者・事業者にも罰則が科せられることがあります。故意ではない場合は指導や勧告が一般的ですが、漏洩事実の公表義務があり社会的信用を失うことにもなりかねないため、厳重な管理が必要になります。

マイナンバー管理の流れと気をつけるべきポイント

企業でマイナンバーを管理する流れは、「収集」「利用」「保管」「廃棄」の4つに大別されます。 ここでは、それぞれのフェーズで注意すべき点を整理してみましょう。

1.収集

マイナンバーを取得する際は、本人確認として身元確認と番号確認が必要です。これは、なりすましによるマイナンバーの不正利用を防ぐためで、マイナンバーの情報漏洩等があった際も本人確認を行っていることで不正防止、早期発見につなげることができます。
マイナンバーが記載された書類には、マイナンバーカードや住民票、戸籍謄本の写しなどがあります。マイナンバーカードは写真入りのため、身元確認も合わせて行えますが、住民票等の写しの場合は、運転免許証やパスポートなどの顔写真付き身分証明書も合わせて提出してもらいましょう。
また、企業がマイナンバーを収集する際は、従業員に対してマイナンバーの利用目的を明示する必要があります。(個人情報保護法第18条第1項、2項)
※ 従業員の扶養親族のマイナンバーを収集する際も、利用目的の明示義務があります。

2.利用

マイナンバーは、利用目的・利用範囲を明確にしなければなりません。
マイナンバーの利用範囲は、社会保障・地方税・防災に関する事務、各地方公共団体が条例で定める事務(独自利用事務)で利用が可能とされています。(マイナンバー法第9条第2項)
具体的には、次のような業務において利用することができ、それ以外での目的で利用することはできません。また、マイナンバーを収集した際に提示した利用目的以外に利用することはできないため、事前通知で漏れがないようにしておくことが肝心です。

●企業が従業員のマイナンバーを利用する場面

  • 源泉徴収票
  • 支払調書
  • 扶養控除等(異動)申告書
  • 保険料控除申告書
  • 配偶者控除等申告書
  • 雇用保険手続き(資格取得届、資格喪失届、離職証明書)
  • 労災保険関係(支給請求書など)
  • 厚生年金・健康保険手続き(資格取得届、算定基礎届など)

なお、マイナンバーの共同利用は原則禁じられていますが、2021年のマイナンバー法改正により取り扱いの委託が可能になった(法第19条第6号)ことで、グループ企業間の転籍や出向などが発生した場合、グループ本社に委託し、本人の同意のもと本社から提供を受けるという方法で共有することが可能です。

3.保管

マイナンバーを用いて社会保障や税処理を行う業務は定期的に発生するため、企業にはマイナンバーの保管が認められています。保管期間は明確に定められていませんが、法令によって一定期間の保管が義務付けられている書類等は、定められた保管期間を厳守しなければなりません。
※ 例えば、源泉所得税関連は7年、雇用保険関連は4年です。

保管に際しては、マイナンバーが個人情報にあたるため、外部へ漏えいしたり滅失・毀損したりしないよう、安全管理措置をとって管理する責任があります。
安全管理措置には次の4種類があり、全てに対応しなければならないことになっています。

●安全管理措置

  1. 組織的安全管理措置:マイナンバーを安全に取り扱う組織体制を整える(ログインやアクセスログを記録するなど)
  2. 人的安全管理措置:マイナンバーを利用する事務について、故意もしくは過失による情報漏洩を防ぐ体制を整える(担当者の監督の配置や適切な教育体制など)
  3. 物理的安全管理措置:マイナンバーを取り扱うパソコンや作業環境など管理区域を明確にし、電子媒体による漏えい防止など物理面での安全ルールを設ける
  4. 技術的安全管理措置:アクセス制御や暗号化、不正アクセスや改ざん、破壊から保護するためのセキュリティ対策等を講じる

また、マイナンバーを適切に管理して不正利用や漏洩を防ぐには、基本方針や取扱規程等を策定することが重要です。基本方針は、マイナンバーの適切な取り扱いに関する企業の根本となる方針や考え方を示すもので、次の内容を定め、取扱規程等に盛り込む必要があります。

  • 目的(マイナンバーの安全管理措置の目的)
  • 基本方針(同安全管理措置に関する基本的な考え方や方針)
  • 組織体制(同安全管理措置を実施するための組織体制)
  • 責任と権限(同安全管理措置に関する責任と権限)
  • 安全管理措置(マイナンバーを保護するための具体的な安全管理措置)
  • 監査(同安全管理措置が適切に実施されているかどうかの監査)
  • 改善(同安全管理措置の有効性を評価し、改善策を講じる)

ただし、従業員数が100人以下の中小規模事業者には、実務への影響を配慮して特例も設けられています。詳しくはこちらを参照ください。

4.廃棄

マイナンバーの利用目的が終了したら、できる限り速やかにマイナンバー情報を廃棄または削除します。ただし、法令により一定期間の保管が義務づけられている書類は、定められた保存期間が優先されるため、保存期間が過ぎ次第、速やかに処分しましょう。また、廃棄するまでの期間は企業の判断に任せられており、例えば「月末に対象者のみ廃棄する」「年度末にまとめて廃棄する」といった運用も可能です。
廃棄する場合は、記載された書類をシュレッダーにかける、焼却する、溶解するなど復元不可能な状態で処分しなければなりません。また、マイナンバー法では廃棄した記録を保存することも求められています。

2024年〜2025年に施行されるマイナンバー法改正のポイント

2022年に「デジタル社会の実現に向けた重点計画」が閣議決定され、翌2023年にマイナンバー法等の一部改正が行われました。この改正は、コロナ禍を経て、社会における抜本的なデジタル化の必要性が顕在化したことを受け、デジタル社会の基盤であるマイナンバーおよびマイナンバーカードの利便性を図ることが目的とされています。
主な改正内容は次の6点で、2024年〜2025年の間に順次、行政のシステム整備が行われる予定です。

1.マイナンバーの利用範囲の拡大

マイナンバーの利用は、これまで社会保障・税・災害対策分野の手続きに限られていましたが、今後はそれ以外の行政事務においても利用促進が図られます。
具体的には、医師、保育士、税理士、理容師、美容師、建築士など80近い資格手続きにマイナンバーが利用されることになります。また、自動車登録、在留資格に関する事務手続きにも利用範囲が拡大されます。
これにより、各種事務手続きに必要な添付書類が省略され、マイナポータルから手続申請(新規取得・住所変更など)ができるようになります。
今回拡大された利用範囲が自社の手続きに関連する場合は、マイナンバーの取扱規程等の利用範囲に追記するなど、改定を検討しましょう。

(例)国家資格等の事務手続き

出典:デジタル庁 PDF「マイナンバー法の改正事項

2.マイナンバーの利用および情報連携に係る規定の見直し

マイナンバー利用範囲の拡大に関して、迅速な情報連携を実現するため、法令で定められていない事務についても、規定のマイナンバーの利用範囲に準ずる事務であればマイナンバーの利用が可能になります。
ただし、どのような事務を指すのかは「既に利用が認められている事務と性質が同一」「主務省令に規定」と明記されているのみで、具体的には示されていません。今後公開される情報に注意しておきましょう。

3.マイナンバーカードと健康保険証の一体化

マイナンバーカードと保険証の一体化は、2021年10月20日からすでに運用が開始されていますが、2024年12月2日からは紙の健康保険証が廃止され「マイナ保険証」へと完全移行されます。これにより、マイナンバーカードを持っていない人には「資格確認書」が発行されます。(乳児には顔写真なしのマイナンバーカードが交付されます)
協会けんぽでは、2024年9月以降すべての加入者に対し、「資格情報のお知らせ」とマイナンバーの下4桁が記された加入者情報(資格確認書)を送付する予定です。このお知らせは、個人別に封入され封筒または箱に梱包して特定記録郵便にて企業宛に送られるため、届いたら従業員に配布しましょう。(任意継続加入者分に関しては、被保険者分と被扶養者分がまとめて被保険者住所に送付されます)この資格確認書は、最大5年間有効となるため、大切に保管するようしっかり周知しましょう。

4.マイナンバーカードの普及・利用促進

マイナンバーカードの交付等の手続き窓口に、在外公館、一部の郵便局が追加されます。

  • 在外公館
    国外転出者に対するマイナンバーカード交付や電子証明書の発行等の事務手続きに対応
  • 市町村から指定された郵便局
    マイナンバーカードの交付申請の受付等に対応

また、暗証番号の入力等を伴う電子利用者証明を行わずに利用者確認をする、いわゆる「かざし利用」が導入されます。

5.戸籍等の記載事項への「氏名の振り仮名」の追加

戸籍、住民票等の記載事項とマイナンバーカードの記載事項等に「氏名の振り仮名」を追加し、各種手続での本人確認で利用できるようになります。また、希望する場合は氏名のローマ字表記および西暦の生年月日を追記欄に記載することも可能になります。

出典:デジタル庁 PDF「マイナンバー法の改正事項

6.公金受取口座の登録促進(行政機関等経由登録の特例制度の創設)

緊急時の給付金などを迅速かつ確実に給付できる基盤の整備に向けて取り組んでいる「公金受取口座登録制度」について、日本年金機構と連携し、高齢者やデジタルに不慣れな人でも年金受取口座を公金受取口座として簡易に登録できる特例制度が設けられました。
これにより、既存の給付受給者等(年金受給者を想定)に対し、年金を受け取っている口座を公金受取口座として登録するか否か、日本年金機構から書留郵便で個別に通知されます。

マイナンバーは収集から管理までシステムで対応が賢い選択!

先述したように、マイナンバーを管理する際には安全管理措置が求められます。
紙で収集する場合、収集した用紙をそのまま保管するだけでは、検索性や管理業務に手間がかかるうえ、紛失や盗難などセキュリティリスクも高くなります。そのため、マイナンバーをデータで管理できるよう、マイナンバー管理システムを利用することが推奨されています。システムで管理すれば、ヒューマンエラーの防止や管理業務の効率化が期待できます。また、クラウドサービスならシステムのセキュリティ体制を利用でき、管理体制の強化も図れます。

市場にはクラウド型のマイナンバー管理システムが数多く提供されており、マイナンバー管理専用タイプと、人事労務システムの中にマイナンバー管理機能を持つタイプに大別されます。給与システムや人事労務システムなど基幹システムとの連携等により、どちらのタイプが良いかは一概には言えませんが、自社で管理するマイナンバーの件数を考慮しつつ、データの収集方法や管理体制などを踏まえて検討することが肝心です。特に提供するベンダーのセキュリティ対策は、個人情報保護法の観点から重要なチェックポイントと言えます。

例えば奉行Edgeマイナンバークラウドは、マイナンバーの収集から本人確認・保管・記録の破棄まで、マイナンバー業務を手間なく管理することができます。マイナンバーの利用目的の明示や提出依頼などを、サービスから手間なく一括でメール通知でき、パソコンやスマートフォンのブラウザから、マイナンバーの提出ができるため、提出者も担当者も手間なく安全に提出・収集することが可能です。

サービスには2段階のアクセス認証でログインし、書類の画像をアップロードするだけでよく、提出者は持参する手間や郵送する手間・コストがかかりません。

手続き業務に利用する際は、利用者ごとにマイナンバーの利用権限を設定することで、許可された担当者しかマイナンバーへアクセスできなくすることが可能です。また、アクセス時には電子証明書認証、利用者ID/パスワード認証とワンタイムパスワード認証の3段階認証が必要なため、外部からの不正アクセスやなりすましを防ぐ措置も標準装備されています。

さらに、JIS Q15001(個人情報保護マネジメントシステム・要求事項)に適合した4つの安全管理措置と、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に準じた運用管理ができ、本人確認が完了したマイナンバー・本人確認書類のデータは暗号化され、世界トップレベルのセキュリティを誇るMicrosoft Azure上に自動保管されます。
利用履歴や参照履歴等は自動で記録され、削除する際はボタンを押すだけで復元不可能な状態に完全削除もできるため、管理業務の手間がほとんどかかりません。
給与奉行クラウドをはじめ、奉行Edge年末調整申告書クラウド奉行Edge 労務管理電子化クラウドなどマイナンバーを利用する事務手続きを行う他の奉行製品と自動連携し、二重入力やデータ連携の手間をかけず、収集したマイナンバーを利用して各種の書類を自動作成し、手続きを行えます。マイナンバーを含むCSVファイルをダウンロードすれば、ご利用中の給与システムや人事労務システムにも連携できます。

※ API連携については、別途お問い合わせください。

おわりに

マイナンバーの管理業務は細かなルールも多く、個人情報として取り扱い方にも細心の注意が必要です。マイナンバーの利用範囲は今後拡大していくことが見込まれており、今こそ自社の取り扱い体制の見直しを図る絶好の機会です。奉行Edgeマイナンバークラウドのようにセキュリティ面で信頼できるシステムを利用して、業務負担を軽減しながら安心・安全の管理体制を構築しましょう。

※奉行クラウドのセキュリティ体制については、コラム「クラウドの安全性と情報漏洩リスクを奉行シリーズの対策から解説 」を参照ください。

関連リンク

こちらの記事もおすすめ