業種別業界別トピックス「社会保障・税番号制度(マイナンバー制度)は民間企業での対応が必要!」(2015年3月)
正式名称「行政手続における特定の個人を識別するための番号の利用等に関する法律」。国民一人一人に「番号(マイナンバー)」を割り振るマイナンバー制度ですが、どの程度ご存知でしょうか。内閣府が3月に調査した結果では、内容を知っていると回答したのは約30%にとどまっていました。
2015年10月に全国民に通知されて運用が始まる「マイナンバー」。個人には「個人番号(12桁)」、法人には「法人番号(13桁)」が割り当てられます。2016年1月から社会保障、税、災害対策の行政手続きとして各種書面でマイナンバーの記入が必要となります。
マイナンバー導入の目的
マイナンバー制度には「公平・公正な社会を実現」「国民の利便性の向上」「行政の効率化」という目的があります。
①公平・公正な社会を実現
所得や他の行政サービスの需給状況を把握し、負担を不当に免れることや給付を不正に受け取ることを防止し、きめ細やかに支援。
②国民の利便性の向上
行政手続きが簡素化され、国民の負担が軽減されます。さらに、行政機関が持っている自分の情報の確認、行政機関から様々なサービスのお知らせの受け取りが実現。
③行政の効率化
行政機関や地方公共団体などで、様々な情報の照合、転記、入力などに要している時間や労力が大幅に削減されます。複数業務で連携が進み、作業重複などのムダが削減。
企業でのマイナンバーの利用
企業では、正社員だけでなく、パートやアルバイトを含む従業員やその扶養家族のマイナンバーを取得して、給与の源泉徴収票や社会保険の資格取得届などに記載する必要があります。具体的には、事業者が法令に基づき従業員等の個人番号を「給与所得の源泉徴収票」「支払調書」「健康保険・厚生年金保険被保険者資格取得届」の書類に記載して、行政機関や健康保険組合に提出します。
さらに、講演料や原稿料といった、社外の人に頼んだ報酬などの支払い調書にもマイナンバーの記載が必要です。これは大企業、中小企業を問わず発生することです。
個人番号と、氏名・住所・生年月日・性別など個人を特定できる情報が結びついた情報を、特定個人情報と呼びます。特定個人情報は、法律で定まられた行政手続き以外で利用することが禁じられています。本人からの同意があったとしても番号法違反となり罰則が適用されます。
特定個人情報に関しては、「特定個人情報保護委員会」が、各事業者で守るべき事項をまとめたガイドライン「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を出しており、全ての事業者がこのガイドラインに基づいて対策を行うこととなっています。
罰則規定の例
マイナンバー制度は、単に「帳票に番号枠を設けるだけ」ということで思われがちですが、事業者は、個人番号及び特定個人情報が漏えい、滅失又は毀損することなく適切な管理を行うために、安全管理措置を講じなければならないとされています。従業員など継続的に手続きが必要なものは適切な安全管理の元での保存が義務となります。
特定個人情報が含まれる紙やファイルなどを、法律で定められた行政手続き以外で紛失や漏洩してしまったり、その情報が入っている紙やPCなどを第三者に盗まれたりすると、相応の安全管理を怠った過失責任となります。仮に社員が特定個人情報を横流しした場合にも、その雇用主である企業も責任を問われます。
具体的には、個人番号関係事務または個人番号利用事務に従事する者または従事していた者が、正当な理由なく、特定個人情報ファイルを提供した場合には、4年以下の懲役もしくは200万円以下の罰金または併科と定められています。
さらにそれを不正な利益を得る目的で故意に行った場合は、上記に加えて、不正な利益を図る目的で、個人番号を提供または盗用した場合には、3年以下の懲役もしくは150万円以下の罰金または併科です。
従来の「個人情報」よりも更に厳格な保護措置が求められています。また、個人情報保護法では5,000件以上の個人情報を管理する事業者が対象でしたが、特定個人情報に関しては中小規模事業者を含む全ての事業者が対象となります。
マイナンバー制度で企業がやるべきこと
企業の中でマイナンバー制度が適切に運用されるために、特定個人情報を収集・保管・提供できる範囲や、特定個人情報ファイルを作成できる範囲が制限されるほか、番号取得時の厳格な本人確認、安全管理措置への取り組みが求められます。これら全てを実行するとなるとかなりの労力や時間を要することになるのは間違いありません。
経営幹部が率先して組織横断のプロジェクトを立ち上げて、どの業務で対応が必要になるのかを洗い出さなければなりません。例えば、経理や人事部門だけで独自に対応しようとしたり、営業部門が対応を始めたりすると、企業としての整合性がとれずにスムーズに事が運ばないことが想定されます。
対象業務を洗い出し、組織体制やマイナンバー利用開始までのスケジュールを検討し、対応方法を決定するなど、やるべきことはいろいろあります。具体的には、以下のような活動が必要になってきます。
・組織として基本方針、取扱規程を策定
・特定個人情報の安全管理措置の検討
・組織体制、担当者の監督、区域管理、漏えい管理、アクセス制御など
・業務プロセスの見直し
・マイナンバーを適正に扱うための社内規程づくり
・マイナンバーに対応したシステム開発や改修
・人事、給料、会計システムなどへの対応
・社内研修・教育の実施
・総務・経理部門などマイナンバーを取り扱う事務を行う従業員への周知徹底
マイナンバー制度の実施にはまだまだ余裕がある、と考えるのではなく、個人番号を取扱う事務の範囲や、特定個人情報等の範囲、関連するリスクは何か、現状の安全管理措置が十分であるかなど、組織として早急に検討し、マイナンバー制度対応のための対応ロードマップを作成することをお勧めします。
【参考ホームページ】
マイナンバー 社会保障・税番号制度
http://www.cas.go.jp/jp/seisaku/bangoseido/
特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
■高鹿 初子(こうろく はつこ)
中小企業診断士、技術士(総合技術監理部門・情報工学部門)、情報処理技術者(システムアナリスト)
東京都中小企業診断士協会中央支部 研修部 部長