Q: マイナンバー制度とはなんなのでしょうか。また、マイナンバーを取り扱うことになった場合の方法、注意点を教えてください。
A: マイナンバーは、「行政を効率化し国民の利便性を高め公平公正な社会を実現する社会基盤」とされています(マイナンバーカード総合サイトより)。国民一人ひとりに割り当てられた12桁の数字です。
マイナンバーは、個人情報と同様、(i)取得時(ii)保管時、(iii)廃棄時と、場面を設定して整理する必要があります。個人情報と同様、といってもその性質上差異がありますのでその点は留意を要します。
(i)取得時
→取得時には、マイナンバーの利用目的を明示した上で、番号の確認及び本人確認を行う必要があります。なお、本人の同意があっても、利用目的意外に利用することはできませんのでご留意ください。
(ii)保管時
→取得後の保管については、個人情報保護委員会が公表しているガイドラインに準拠した管理を行う必要があります。例えば、取得したマイナンバーを社内にて管理するに際し、マイナンバーにアクセスできる人員を少数に限定した上で、当該情報を共有しないなどの方法により保管することが必要になります。
(iii)廃棄時
→廃棄を行う場合には、個人情報の性質から、復元が不可能な方法で廃棄する必要があります。
1. マイナンバー制度
マイナンバーとは、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「マイナンバー法」といいます。)に基づき、日本に住民票を有する者に付与される12桁の番号をいいます。マイナンバーの呼称が一般的に定着していますが、法律上はマイナンバーと呼ばれることはなく、「個人番号」と呼ばれています。それに関連し、マイナンバーを含む個人情報を「特定個人情報」と呼びます。
マイナンバー制度は、社会保障や税務、災害対策に関する行政手続きに利用することを目的としています。すなわち、形式的に個人を特定するのは困難である一方、行政における作用では、書類のみで個人を特定し、また、行政上の手続きを進める必要がある場面があります。個人を特定するための情報として、例えば、氏名や生年月日、本籍地、住所が挙げられるでしょう。しかし、誕生日以外の情報は普遍的なものであるというわけではなく、結婚や引越し、転籍や引越しによって変わってしまいます。そうなると、年金の支払い等、誤りがあっては困る行政活動が行われるにもかかわらず、個人を特定するというのは非常に困難になってしまいます。
そのため、普遍的な尺度として個人を特定できる制度の必要性が高まりました。そこで、国民が結婚や転籍、引越しをしても変わらない、個人が割り当てられるものとなったのがマイナンバーです。マイナンバーを把握しておけば、当該マイナンバーに紐づけられた個人を特定することは容易になります。
2. 事業者におけるマイナンバーの取扱い
上記の通り、マイナンバーは行政における利用を念頭にしている制度ですが、事業者においても、マイナンバーを利用することで個人の特定が容易になり、それを利用することで業務の効率化を図ることが可能になると考えられる方もいるでしょう。
しかし、マイナンバーの取扱いについては、マイナンバー法が多くの規制を設けており、各規制に十分に留意する必要があります。そもそも、マイナンバーは上記のような行政事務に活用することが目的であり、それ以外の目的外利用は禁止されています(マイナンバー法第9条)。そのため、事業者が顧客管理を目的としてマイナンバーを利用することはできませんし、マイナンバーを取得した場合、滅失または既存の防止のために必要な措置を講ずる必要があります(マイナンバー法12条)。
しかし、上記のような制約があるものの、事業者がマイナンバーを取得しなければならない場面があります。具体的には、行政事務の一部を事業者が行なっているもの、すなわち、給与からの源泉徴収や社会保険料の納付等の処理にはマイナンバーの取得が必要になります。これらの処理は従業員を雇用している事業者全てに生じるものですから、一般の事業者においてもマイナンバーを取得しなければならないことになります。
そのため、マイナンバーの取得はほとんどの事業者にとって必須の事項となり、それに合わせてマイナンバーの管理方法等についてもきちんと理解しておく必要があることになります。以下、上記の(i)取得時(ii)保管時、(iii)廃棄時に分類して解説します。
3. (i)取得時
事業者は、マイナンバーの取得時においては、①番号の確認及び本人確認の2つの事項の確認に加えて、②マイナンバーの利用目的を明示する必要があります(マイナンバー法16条)。
- 番号の確認及び本人確認については、当該マイナンバーが本人のものであるかを確認した上で取得することを意味します。例えば、公的な書類と共にマイナンバーを確認することが必要です。本人がマイナンバーカードを発行していればその提示を受けることで足りますが、マイナンバーカードの発行は一般的とまではいえず、必ずしもマイナンバーカードを発行しているとは限りません。そこでそのような場合には、住民票の写しやマイナンバー通知書等によりマイナンバーを確認し、それ以外の顔写真付きの身分証明書(例えば免許証やパスポート等)の提供を受けることが必要になります。
(参考)代理人からマイナンバーの提供を受ける場合
マイナンバーの提供が必ずしも本人から行われるとは限りません。代理人により提供を受ける場合もあります。そのような場合には、上記の確認に加えて、代理人自身の本人確認も必要になります。すなわち、代理権を示す委任状の提示に加えて、代理人の運転免許証などの本人確認書類が必要です。 - 利用目的の明示については、そもそも、マイナンバー法において使用目的が社会保障、税、災害対策に関する特定の事務に限定されていること、加えて利用目的を明示する必要があること、利用目的として明示した範囲をこえてマイナンバーを利用しないことが要求されています。そこで、利用目的に際しては、例えば「源泉徴収票作成事務」や「健康保険・厚生年金保険届出等事務」などを利用目的として明示することになるでしょう。上記の通り、明示した目的を超えて利用してはならないことには留意が必要です。
4. (ii)保管時
上述の通り、事業者は取得したマイナンバーについて、適切な管理のために必要なもの措置を講ずる必要があります。この適切な管理に関して、個人情報保護委員会が策定している特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が参考になりますので、管理体制の構築などの際に参照する必要があります。中でも、従業員数が100人以下の中小規模事業者については、例外的に簡易な安全管理措置の方法が定められていますので、その点も参考になります。簡易版の安全管理措置の方法は概ね以下の通りです。
情報のアクセス権限の制限、情報が漏洩しない管理の方法が確保されているかが着眼ポイントになると考えられます。
【管理者について】
- マイナンバー管理に関する担当者と責任者を定める
(上記の担当者と責任者は区別しておくことが望ましい) - マイナンバーの保管状態が分かる記録の作成する。なお、保管中は、担当者のみがアクセスできるようにする(アカウントの制御などによる)ことが望ましい
- 責任ある立場の者が定期的に点検を行う
【マイナンバーの管理体制】
- 情報や媒体を移動する際には、パスワードの設定、封筒へ封入してから鞄で運ぶなど、紛失を防止する措置をとること
- 漏洩等のトラブル対応時の連絡方法を事前に準備しておく
- 廃棄する際には、責任ある立場の者が確認すること
5. (iii)廃棄時
上記の通り、適切にマイナンバーを保管していても、法定保存期間の経過や従業員の退職などによって必要がなくなった場合には速やかにかかる情報を廃棄する必要があります(マイナンバー法20条)。いつまでも保管の責任を課すことは不合理ですし、マイナンバーを永続的に保持する必要はないからです。
廃棄の方法については、マイナンバー部分を復元不可能な方法で行う必要があるとされています。具体的には、かかる媒体の焼却や溶解などが適切な手段として掲げられています。これらはあくまでも例示のため、これら以外の方法による廃棄が禁止されるわけではありません。あくまでも復元不可能な方法である必要はありますが、適切に廃棄することが重要になります。
