WEBマガジン

「マイナンバー対応に向けて “その2” -民間での影響-」

2015.05.18 株式会社オージス総研  礒部 大

Keywords:マイナンバー、特定個人情報、PIA評価、Privacy Impact Assessment、民間企業

前回(2015年4月号)では行政でのマイナンバー対応について紹介しました。今回は、告知とおり民間での対応について紹介します。

・民間でのマイナンバー対応

結論めいたことを言えば、民間企業でのマイナンバーの取扱は以下の資料に纏められています。その他、PIA評価に関する書籍([4]等)も参考になると思われます。

どれも大変読みやすく、よく整理された資料です。[2]の資料は取扱の場面毎に《手法の例示》も示されており、実務的な示唆も与えてくれます。さらには、大企業以外への配慮として【中小規模事業者における対応】として経営資源の乏しい組織で許容される取扱方法も示されています。"バイブル"として熟読されることを、お勧めします。

また、内閣官房が提供しているWebサイト(下図は同Webサイトのトップページ)では、各種の情報が揃っています。例えば、マイナンバーを取り扱う業務の業務フロー例を紹介する外部Webサイトへのリンクもあります。

内閣官房 Webサイト
図1 「内閣官房 Webサイト」

民間企業でのマイナンバーの取扱いに関する資料
図2 左から、「特定個人情報の適切な取扱いに関するガイドライン(事業者編)」[1]
「同(別添)特定個人情報に関する安全管理措置(事業者編)」[2]
「マイナンバー 社会保障・税番号制度 民間事業者の対応(平成27年2月版)[3]

1.民間企業では従業員からマイナンバーの提供を受け、源泉徴収票等に記載します。

社会保障・税番号として利用分野の代表例である納税について、給与所得者の源泉徴収を行う雇用者は、納税時期に間に合うように従業員からマイナンバーの提供を受け、人事給与システムに入力し、源泉徴収票に記載します。

ここで考えなくてはならないのは、例えば「提供を受ける」と一口に言っても、どのような方法で行うのが良いかということです。「職場内で氏名と記入欄を設けた用紙を回覧する…」などは、マイナンバーの重要性から言っても言語道断の処置と言えるでしょう。また、提供は従業員の同意が必要です。その同意をどう取るか、同意の証跡は必要なのか、必要であればどう作成するか…"適切"な対応が必要になります。
更には給与所得者の扶養控除等(異動)報告書には従業員本人のマイナンバーだけでなく、控除対象の配偶者、扶養親族等のマイナンバーを記載することになりますので、従業員本人を通じて扶養家族のマイナンバーの提供を受ける必要があります。扶養家族の同意はどのように扱えば良いか…考えるべき事は多いようです。

以上は主に事務プロセスの話でしたが、「記載」という点にも考えるべき問題があります。多数の従業員のマイナンバーを源泉徴収票に記載するのですから、情報システムで印字することになるケースが多いと思われますが、その情報システム内の処理プロセスはどのようにすべきでしょうか?
下記に処理プロセス例A、Bを示しました。同じ源泉徴収票を作成する処理プロセスです。処理プロセス例Aは最初のプログラム「従業情報編集」でマイナンバー情報を読み込んで、中間ファイル1を作成します。その後、2本目、3本目のプログラムで追加情報を加えていき、最終的に源泉徴収票を印字します。
一方、処理プロセス例B はマイナンバー情報を源泉徴収票を印字する時に参照し、それ以前の中間ファイル1~3のいずれにもマイナンバー情報は含まれていません。
冒頭で紹介した政府・内閣官房の資料では、このように細かいレベルでの言及はありませんが、マイナンバーをよい安全に取り扱うならば処理プロセス例Bのような考え方が好ましいのではないでしょうか?
勿論、「中間ファイルは使用後、直ちに削除するようにしている」、「同一のプラットフォーム上で稼働するプログラムなので、統一的なセキュリティ統制が働いているので、数の多少は影響ない」等々の反論は考えられますが、守るべき物を増やす、監視すべきポイントを増やすことは情報セキュリティ管理の王道に反しますし、そもそも「一生使う大切にすべきマイナンバー」を取り扱う精神に相応しいとは言えないようです。

源泉徴収票を作成する処理プロセスの例
図3 「源泉徴収票を作成する処理プロセスの例」

考えたくもありませんが、もし、万が一、マイナンバーが大量に漏洩したとします。一生使うマイナンバーですが、漏洩等の事故があった際には変更することが可能とされています。12桁のマイナンバーはチェックデジット1桁を含んでいるので、実質11桁です。人口約1億人の我が国では100年は重複が発生しないコード設計ですが、大量漏洩の発生次第では新規採番に悪影響が出ないかも知れず、大量にマイナンバーを取り扱う企業では細心の注意を払うことは、ある意味、社会的責任と言えそうです。

2.給与所得の源泉徴収票や給与支払報告書は、A6サイズからA5サイズに変更になります。

1.ではマイナンバーを記載と言いましたが、単に余白にマイナンバーの印字欄を追加するだけと考えている場合は要注意です。法定調書の中にはサイズ自体が変更になるものもあります。アプリケーションプログラムの修正、マイナンバーDBの設計だけでなく、新帳票の用紙の調達、プレプリントの再設計、プログラム印字位置の修正…等々も忘れず対応する必要があります。なお、老婆心ながら付言しますと、従業員のマイナンバー記載に集中するあまり、源泉徴収票の支払者欄に支払者自身の法人番号(または個人番号)を記載することも忘れずに。

3.マイナンバーの"外部"提供

納税以外の社会保障分野の例として、健康保険関係があります。企業が従業員から提供を受けたマイナンバーを、健康保険組合に提供することは問題ありませんが、情報の受け渡し、提供先での利用実態の監視、用済後の廃棄の確認等、課題は多いと思われます。

4.マイナンバーの保存、廃棄

マイナンバーは原則的に保存してはいけませんが、定例的に使用する場合は保存して再利用することが認められています。しかし、保存においても機密性の配慮が重要ですし、従業員から開示要求、利用目的の確認等への対応方法も確立する必要があります。また、退職する従業員等から破棄の要求がされた場合は保存していたマイナンバーを破棄する必要がありますが、その方法もやはり機密性が重要になります。
ちなみに、冒頭紹介した[2]の資料では廃棄について、以下のように記述しています(筆者の解釈で箇条書きに直しています)。

一言でいえば『削除、廃棄したものも悪用されないように、復元できないようにすること』となりそうです。また、タイトルは《手法の例示》ですが、その取扱を行ううえでの守るべきこと、達成すべき水準といった内容なので、やはり実務的な取扱方法は各企業で趣旨に則り考えなくてはなりません。

大まかに言えば、マイナンバーも他のプライバシー情報、機密情報等々と特別な要求事項はありません。しかし、取扱の詳細は未だ判断に迷う部分も多く、マイナンバー導入準備に向けては抜かりなく準備を整えることが大切と言えそうです。

(参考文献)

[1]「特定個人情報の適切な取扱いに関するガイドライン(事業者編)
(平成26年12月11日 特定個人情報保護委員会)」
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
[2]「同(別添)特定個人情報に関する安全管理措置(事業者編)」注:[1]内に収録
[3]「マイナンバー 社会保障・税番号制度 民間事業者の対応(平成27年2月版)」
http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/koho_setumei_h2701.pdf
[4]瀬戸洋一「実践的プライバシーリスク評価技法」近代科学社、2014年)

執筆者について
礒部大 公認システム監査人(CISA),中小企業診断士,元国立公文書館CIO補佐官
株式会社オージス総研 コンサルティング・サービス部 所属

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。