マイナンバー制度についてきちんと理解できていますか？マイナンバー対策のためのセキュリティ強化ガイド［前編］

2015.07.27

ページタイトルとURLがコピーされました

マイナンバー制度の開始に向けて、企業は様々な対応を迫られています。セキュリティ対策の強化もその1つです。万一、マイナンバー情報を漏えいしてしまえば、社会的信用の失墜など大きなダメージを被るからです。では、具体的にどうセキュリティを強化していけばいいのでしょうか。前編ではまず、IT担当者が理解しておくべきマイナンバー制度の基礎知識を学びます。

企業におけるマイナンバー制度への対応つづいてマイナンバー制度の開始により、民間の企業では、どのような対応が必要となるのかを見ていきます。

前述の通り、民間企業は現時点ではマイナンバーを利用することはできませんが、マイナンバー制度のために、様々な業務上の対応やシステム改修などが必要です。主な対応は下記３点です。

①従業員のマイナンバーを収集する
②従業員のマイナンバーを管理する
③各行政機関に提出する帳票などにマイナンバーを記載する

①の「マイナンバーの収集」においては、適正な「本人確認」が必要とされています。具体的には、「提示されたマイナンバーが、まちがいなく提示者本人のものであるか」を確認する「番号確認」、「提示者が間違いなく本人であるか（なりすましなどしていないか）」を確認する身元確認の2つを行わなければなりません。これらは適切な書類などを提示してもらったうえで確認し、きちんと記録を残す必要もあります。

また、②③においては、一部の中小企業を除き、多くの企業で情報システムの改修が必要になるはずです。従業員の個人情報管理や、社会保険・税関連の法定調書などの提出帳票印刷には情報システムを利用している企業が大多数だからです。

もちろん、マイナンバーの管理には厳正なる安全管理措置が求められますが、それについては後述します。

マイナンバー対応のスケジュール個人へのマイナンバーの通知は2015年10月から始まり、マイナンバー制度は2016年1月からスタートします。つまり、2015年12月末までに、企業・団体はすべての対応を済ませておく必要があります。あまり時間は残されてはいません。

図表3　民間企業（事業者）のマイナンバー対応スケジュール

出典：『マイナンバー社会保障・税番号制度民間事業者の対応平成27年5月版』
（内閣官房・内閣府　特定個人情報保護委員会　総務省・国税庁・厚生労働省）
http://www.cas.go.jp/jp/seisaku/bangoseido/download/slidejigyou_siryou.pdf

とはいえ、実をいえば、必ずしも2016年1月までにすべての従業員のマイナンバーを収集したり、システム改修が完了していないと業務が回らないわけでもありません。

たとえば、給与所得の源泉徴収票の場合を考えてみましょう。2016年1月分からマイナンバーの記載を摘要するのであれば、中途退職者などの特別な場合を除き、行政機関への提出期限は2017年1月末となります。

このように、マイナンバー制度開始（＝法定調書などへの記載義務化）と実施の提出期限にはタイムラグがありますので、理屈では「それぞれの提出日までに間に合えば（少なくとも表向きには）問題が出ない」と考えてしまう方もいるでしょう。しかし、詳しくは後で触れますが、こうした考え方ですと、セキュリティ面で大きなリスクを抱えることになります。

やはり、スケジュールを明確にして適切に対応を進めて行くことが肝要です。

マイナンバー法と個人情報保護法との関係前述の通り、マイナンバー法では、マイナンバーを含む個人情報を「特定個人情報」と規定しています。この特定個人情報は、従来の個人情報保護法で規定されていた「個人情報」とは、どういった点が異なっているのでしょうか。マイナンバー法と個人情報保護法の違いを理解しておくことも、マイナンバー制度に適切に対応するうえでは欠かせません。

まず重要な違いは、特定個人情報は、従来の個人情報保護法で規定されていた個人情報よりも、厳格な運用・管理が求められていることです。マイナンバー自体が「複数の組織・機関に散在する情報を、同一の（特定の）個人の情報である」と紐づけする際のキーとなる情報ですから、一般の個人情報よりも厳格な運用・管理が求められることは理解できるでしょう。

また、２つの法律の関係についていうと、「マイナンバー法と個人情報保護法の関係」は「特別法と一般法の関係」となっています。

「特別法と一般法の関係」とは、「会社法と民法」の関係を例に考えれば分かりやすいと思います。

たとえば、民法では「契約行為」の一般的な事項について規定されています。それに対して会社法では「商行為において特有な契約行為」について規定されています。つまり、ビジネス上の契約を行う際には、まず会社法の規定を優先し、そこに記載されていない事項については一般法である民法の規定を採用する、という考え方を採るのです。

特定個人情報についても、まずはマイナンバー法に記載されている規定を優先し、そこに記載がなければ個人情報保護法の記載を適用することになります。

これまでの個人情報保護法で求められている点と比べて、具体的にはどのように異なるのでしょうか。そのことを説明する前に、まずは「個人情報」の定義について、今一度確認しておきましょう。

個人情報とは（個人情報保護法第２条第１項）
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう

上記条文中にある氏名・生年月日の他、住所・メールアドレス・本人と認識できる写真などの画像、肉声の音声データなども個人情報とされます。

それでは、マイナンバー法と個人情報保護法が求める運用・管理の相違について見ていきましょう。

（1）故人の情報も管理対象となる
まず、条文中にある通り、個人情報保護法では「生存する個人に関する情報」が対象ですが、マイナンバー法では、故人に対する特定個人情報も管理対象となります。

（2）すべての事業者が対象となる
次に、それぞれの法の対象となる事業者の範囲です。個人情報保護法では、過去半年以内に5000件以上の個人情報を取り扱った事業者のみが法の対象となりますが、マイナンバー法ではすべての事業者が対象となります。

（3）たとえ本人の同意を得ても、目的外利用はできない
個人情報の場合は、本人の同意を得れば、利用することができる業務の範囲に制限はありませんが、特定個人情報は本人の同意があっても「社会保障・税・災害対策」以外の目的には利用できません。

（4）罰則の規定が厳しい
個人情報保護法に比べ、マイナンバー法の罰則の規定の方が厳しくなっています。また、個人情報保護法を違反した場合、まずは行政指導が入り、それに対して従わないなど適切な対応をしない場合のみ刑罰が科せられる「間接罰」という方式がとられていますが、マイナンバー法では行政指導を経ないで刑罰が科される「直接罰」という方式が採られていますので、法令順守の徹底がさらに重要となります。

次のページ　マイナンバー法で求められる安全管理措置