Vol.35 中小企業・小規模事業者のマイナンバー制度 シンプル対応策<後編>情報化推進国民会議 本委員の弁護士にインタビュー

2016年1月から実施される「社会保障・税番号制度」、通称「マイナンバー制度」。
前編に引き続き、中小企業・小規模事業が最低限行っておくべき対応を、情報化推進国民会議 本委員会 委員の影島 広泰弁護士(牛島総合法律事務所パートナー)にうかがいました。
※本記事は2015年9月14日時点の取材を基に執筆・掲載しています。

対応すべき「安全管理措置」を確認!

FIXME

クリックすると拡大します

ミラサポ事務局:だれから、いつまでに「個人番号」を集めるのかについて、前編ではおうかがいしました。では、集めた番号を扱う上で必要となる対応を教えてください。

影島弁護士:「平成28年分 給与所得者の扶養控除等(異動)申告書」を1枚でも受け取る瞬間までに、「安全管理措置」を講じていなければなりません。
「安全管理措置」は6項目あります。
A:基本方針の策定(任意)
B:取扱規程等の策定(義務)
C:組織的安全管理措置(義務)
D:人的安全管理措置(義務)
E:物理的安全管理措置(義務)
F:技術的安全管理措置(義務)

パート・アルバイト含み「従業員100人以下の中小規模事業者」は軽減措置があります(ただし、100人以下の事業者でも、委託を受けている事業者、金融分野の事業者、取り扱っている個人情報の数が5000件を超える事業者などは、軽減措置を受けられません)。
「従業員100人以下の中小規模事業者」が「紙」で個人番号を集めた場合、個人番号を取り扱う「取扱区域」の物理的安全措置や「紙」の盗難などの防止などが必要になりますが、経理・人事・総務で1つの部屋で業務を行っているような場合は、その部屋全体が取扱区域に当たりますので、まずは、その部屋に鍵がかかることや、書類を鍵のかかるキャビネットで管理するなどの対応で大丈夫です。

その他については、内閣府のマイナンバー導入チェックリスト「管理・保管」にもありますが、最低限以下の対応を行いましょう。

  • マイナンバーが記載された書類は、カギがかかる棚や引き出しに大切に保管するようにしましょう。無理にパソコンを購入する必要はありません。
  • パソコンがインターネットに接続されている場合は、ウィルス対策ソフトを最新版に更新するなどセキュリティ対策を行いましょう。
  • 従業員の退職や契約の終了などでマイナンバーが必要なくなったら、細かく裁断するなどマイナンバーの書いてある書類を廃棄しましょう。パソコンに入っているマイナンバーも削除しましょう。

  • しかし、101人以上の企業では、取扱規程を遅くとも2015年12月中ごろまでには策定する必要があるなど、安全管理措置をすべて対応しなくてはならないので、すぐに準備を進める必要があります。
    しかし、対応するタイミングは、E:物理的安全管理措置の廃棄に関する対策は、廃棄が必要になったタイミングで行えばよいですし、F:技術的安全管理措置は、情報をデジタル化していなければ不要となります。ですので、自社の状況に合わせて、今すぐに行うべきことと、時間をかけて対応すればよいことを整理し、対応を進めていきましょう。
    ▶「安全管理措置」6項目チェック内容(PDF)

    委託をする、システムを導入する。対応策は1年かけて検討すればOK

    FIXME

    ミラサポ事務局:源泉徴収事務や社会保険関係の事務を税理士や社会保険労務士など、外部に委託している企業も多いと思います。何か対応は必要ですか。

    影島弁護士:委託している税理士や社会保険労務士に個人番号を提出し、これまで通り業務を行っていただくことは可能です。その際、「委託先に対する監督の義務」が企業には生じますので、以下の3つを行う必要があります。

    ①委託先の適切な選定
    預け先である税理士や社会保険労務士がどのような安全管理措置を行っているのか、説明を受け、確認しましょう。

    ②安全管理措置に関する委託契約の締結
    ガイドラインでは8つの契約条項が決まっています。委託契約の締結も義務づけられていますので、締結しなければなりません。一般的には顧問契約書を見直し、委託先から説明がありますから、内容を確認し締結しましょう。

    ③委託先における特定個人情報の取り扱い状況の把握
    こちらも、委託先から報告を受けるで、確認しましょう。報告を行うことは、委託契約の締結先の義務の一つでもあります。

    給与や社会保険の事務で、クラウドを活用したIT企業を利用している場合も「委託」となりえます。そのような会社と業務を行う場合にも、「委託先に対する監督の義務」が発生します。

    「委託先に対する監督の義務」というと、難しく感じるかもしれませんが、委託先からちゃんと説明を受けて、理解してから契約し、状況の報告を受ければ良いだけです。
    自社で個人番号を管理する場合、101人以上の企業では「安全管理措置」のA~Fをすべて講じなくてはならなくなります。その一つ、管理区域の入退出管理を行うだけでも記録する事務的負荷がかかりますが、クラウドに預けてしまい「社内に存在しない」状態を作り出せば、面倒な記録を行う必要ありません。管理するのはIDとパスワードのみとなり、情報漏えいのリスクも低減できます。
    そのような観点から、コストとのバランスもありますが、委託をすることを選択肢として積極的に考えてもよいと思っています。事務的には圧倒的に楽になります。

    この検討も急いで進める必要はありません。マイナンバー制度対応策の選択肢として、1年かけて考えればよいのです。それまでは、鍵のかかったキャビネットでしっかり保管していれば大丈夫です。
    もちろん、この機にシステムを導入し、莫大なコストをかけて情報のデジタル化をすることなど求められておりません。今まで手作業で帳簿の管理を行っている企業であれば、これまで通り手作業でも問題ありません。

    委託をする、システムを導入する、帳票を自社で管理する。いくつかの選択肢を自社の状況を鑑みて、焦ることなく2016年中に結論を出しましょう。

    情報漏えいは、罰則以上に「企業の評判」を失うことが脅威

    FIXME

    クリックすると拡大します

    ミラサポ事務局:マイナンバー制度のリスクとしては、どのような事が考えられるのでしょうか。

    影島弁護士:「従業員が個人情報つきの番号を名簿屋さんに売却する」などでしょうか。この場合、4年以下の懲役、200万円以下の罰金刑のどちらか、または両方を科されます。また、両罰規定があり、従業員が罪を犯すと、会社も200万円以下の罰金刑を科されます。
    従業員が故意に情報を盗むことに対して、罰則が厳しくなっています。ただ、安全管理措置を講じていたのに、うっかり事故を起こしてしまった場合にまで、直ちに罰則があるわけではありません。

    また、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)では、特定個人情報保護委員会の立ち入り検査権が認められています。もし、安全管理措置を講じず、マイナンバー法に違反する取り扱いがされていると、特定個人情報保護委員会の立入検査を受ける可能性があります。

    何より安全管理措置を講じずに情報漏えいが起こった場合、法的な処罰以上に企業にとって痛手となるのは、「企業の評判」を失うことではないでしょうか。社会、取引先、何より社員からの信頼を失いますから、しっかりと管理を行いましょう。

    ただ、マイナンバー法は良くできていて、もし自分の個人番号が漏えいしてしまっても、直接的には何も影響がないように作られています。
    マイナンバー法は不正に取得される、情報漏えいすることも前提に制度設計がされているので、個人番号を使って年金などの受給はできませんし、どの場面においても番号確認だけでなく、免許証やパスポートなどでの「身元(実在)確認」が必要となります。ですので、もし通知カードを落としてしまったり、何かで情報漏えいが起こってしまっても、安心してください。

    中小企業・小規模事業者のみなさんは、扱う個人番号の量も少ないですし、神経質になりすぎなくても大丈夫です。
    まずは、鍵のかかったキャビネットで保管をし、じっくり1年かけて、個人番号が漏えいしないような最適な扱い方を検討してください。




    すべての特集を見る