企業に求められるマイナンバー管理とは?
マイナンバー管理は企業にとって法的義務であると同時に、信用を守る重要な責務です。管理を怠れば重い罰則や社会的信用の失墜、損害賠償請求といった深刻なリスクにつながります。本記事では、具体的な罰則内容から「収集・利用・保管・廃棄」の流れ、6つの安全管理措置まで網羅的に解説します。
マイナンバー管理を怠った場合のリスクと罰則
マイナンバーは「特定個人情報」として法律で厳重に保護されており、その管理を怠った場合、企業は刑事罰、社会的信用の失墜、民事賠償という三重のリスクを負うことになります。単なる管理ミスでは済まされない重大な事態に発展する可能性があるため、その危険性を正確に理解しておくことが極めて重要です。
マイナンバー法違反による具体的な罰則内容
マイナンバーの取り扱いを定めたマイナンバー法(番号法)では、個人情報保護法よりも重い罰則が設けられています。例えば、正当な理由なく従業員のマイナンバーを含む特定個人情報ファイルを提供した場合、担当者には「4年以下の懲役もしくは200万円以下の罰金、またはその両方」が科される可能性があります。刑法では3年を超える懲役には執行猶予が付かないため、悪質と判断されれば初犯でも実刑判決を受けるリスクがあります。
また、不正な利益を図る目的でマイナンバーを提供・盗用した場合や、不正な手段で収集した場合も同様に厳しい罰則の対象となります。これらの罰則は、情報を漏えいした担当者本人だけでなく、監督責任を問われる企業(法人)にも科される「両罰規定」となっているため、組織全体での厳格な管理体制が不可欠です。
情報漏えいが引き起こす社会的信用の失墜
マイナンバーの漏えい事故が発生した場合、企業は法的な罰則以上に深刻なダメージを受ける可能性があります。それは、社会的信用の失墜です。ひとたび情報漏えいが公になれば、ニュースやSNSで瞬く間に情報が拡散し、企業のブランドイメージは大きく傷つきます。
その結果、顧客や取引先からの契約を打ち切られたり、金融機関からの融資が厳しくなったりと、事業の継続そのものが困難になるケースも少なくありません。さらに、採用活動においても「個人情報を適切に管理できない会社」という悪評が広まり、優秀な人材の確保が難しくなるなど、長期的に経営へ悪影響を及ぼすことになります。一度失った信頼を回復するには、多大な時間とコスト、そして努力が必要になることを忘れてはなりません。
従業員から損害賠償を請求される可能性も
刑事罰や行政上の監督・命令とは別に、企業は民事上の責任も問われます。マイナンバーを漏えいされた従業員やその扶養家族は、企業に対して損害賠償を求める民事訴訟を起こすことができます。漏えいした情報が悪用され、なりすましなどの実害が発生した場合はもちろん、精神的苦痛に対する慰謝料の支払いが命じられるケースも考えられます。
もし漏えいの対象が多数の従業員に及んだ場合、一人あたりの賠償額は少額でも、総額では数百万から数千万円という莫大な金額になる可能性があります。過去の個人情報漏えい事例を見ても、企業が多額の賠償金を支払ったケースは数多く存在します。このように、マイナンバーの管理ミスは、企業の財務状況にも直接的な打撃を与える重大なリスクなのです。
【4ステップで解説】企業におけるマイナンバー管理の具体的な流れ
マイナンバーの管理業務は、「収集」「利用」「保管」「廃棄」という4つのステップで構成されます。それぞれのステップで法律上のルールが定められており、一つでも手順を誤ると情報漏えいリスクや法令違反につながる可能性があります。ここでは、各ステップで企業が具体的に何をすべきか、注意点とあわせて解説します。
STEP1:収集|利用目的の明示と厳格な本人確認が必須
マイナンバーの収集は、主に従業員の入社時に行います。収集にあたって企業が必ず遵守すべきことは「利用目的の明示」です。社会保険や税に関する手続きのために利用することを、書面などで明確に従業員へ伝えなければなりません。この目的の明示は法律で義務付けられており、口頭での説明だけでなく、雇用契約書や誓約書に一文を盛り込む形で記録に残すことが推奨されます。
同時に、なりすましを防ぐための厳格な「本人確認」も必須です。本人確認は、①マイナンバーが正しいかを確認する「番号確認」と、②その番号の持ち主本人であることを確認する「身元確認」の2つを行います。マイナンバーカードがあれば1枚で両方の確認が可能ですが、ない場合は「通知カードまたは住民票の写し(番号確認)」と「運転免許証やパスポートなど顔写真付きの身分証明書(身元確認)」の2点セットで確認する必要があります。
STEP2:利用|認められた範囲を正しく理解する
収集したマイナンバーは、法律で定められた範囲でしか利用できません。その範囲は「社会保障」「税」「災害対策」に関する行政手続きに限定されています。具体的には、源泉徴収票の作成、健康保険・厚生年金保険の資格取得届、雇用保険の手続きなどが該当します。
注意すべきは、事前に明示したこれらの目的以外での利用が一切禁止されている点です。例えば、「マイナンバーを社員番号の代わりに使う」「マイナンバーを含む従業員名簿を作成する」といった行為は完全に違法となります。また、同じグループ会社であっても法人が異なれば、原則として本人の同意なくマイナンバーを共有することはできません。利用する際は、その都度、法律で認められた事務手続きであるかを慎重に確認する姿勢が求められます。
STEP3:保管|書類ごとに異なる保管期間と安全な保管方法
マイナンバーを含む書類は、関連する手続きが完了した後もすぐに廃棄できるわけではありません。多くの書類には法律で保存期間が定められており、その期間中は企業に保管義務があります。例えば、給与所得者の扶養控除等申告書といった税務関連書類の保管期間は7年、雇用保険関連の書類は4年と定められています。
この保管期間中は、マイナンバーが漏えいしないよう、安全な方法で管理しなければなりません。紙媒体で保管する場合は、施錠できるキャビネットや専用の保管室に入れるといった物理的な対策が必要です。一方、データで保管する場合は、ファイルにパスワードを設定したり、アクセスできる担当者を限定したりする技術的な対策を講じる必要があります。いずれにせよ、誰でも閲覧できる状態にしておくことは絶対に避けなければなりません。
STEP4:廃棄|不要になったら「速やか」かつ「復元不可能」に
従業員の退職などにより、マイナンバーを保管する必要がなくなった場合は、速やかに廃棄または削除しなければなりません。具体的には、前述した法定保存期間が満了したタイミングが廃棄の時期となります。不要な特定個人情報を社内に保有し続けること自体がリスクとなるため、定期的に保管書類を確認し、期限が来たものから順次廃棄するルールを設けることが重要です。
廃棄する際は、第三者が内容を復元できないよう、確実な方法を選ぶ必要があります。紙媒体であればシュレッダーにかけるか、専門業者に依頼して溶解処理するのが一般的です。パソコンなどでデータを保管している場合は、OSのゴミ箱機能を削除するだけでは不十分です。データ復元ソフトでも復元できないよう、専用の削除ソフトを利用するか、記憶媒体を物理的に破壊するといった措置が求められます。また、廃棄した際は「いつ、誰が、どの書類を、どうやって廃棄したか」を記録として残しておくことが、企業の責任を証明する上で不可欠です。
法律で義務付けられている6つの安全管理措置とは?
マイナンバーを安全に管理するため、企業は法律で定められた「安全管理措置」を講じる義務があります。これは、情報の漏えい、滅失、毀損を防ぐための具体的なルールや体制づくりのことです。具体的には、ルール作りである「基本方針・取扱規程の策定」を土台とし、その上で「組織的」「人的」「物理的」「技術的」という4つの側面からの対策が求められます。
対策の土台となる「基本方針」と「取扱規程」の策定
4つの安全管理措置を具体的に進める前に、まずは組織としてのルールを文書化する必要があります。その土台となるのが「基本方針」と「取扱規程」です。
「基本方針」とは、マイナンバーを適正に取り扱うという企業の姿勢を社内外に示す、いわば宣言のようなものです。関係法令を遵守する旨や、質問・苦情の窓口などを記載します。策定は義務ではありませんが、企業のコンプライアンス意識を示す上で非常に重要です。
一方、「取扱規程」は、収集から廃棄までの各ステップで「誰が、いつ、どこで、何を、どのように取り扱うか」を定めた、より具体的な社内マニュアルです。担当者の役割や禁止事項などを明確にすることで、担当者が変わっても一貫した安全管理ができるようになります。この規程の策定は、マイナンバー管理の実務において不可欠と言えるでしょう。
①組織的安全管理措置:責任者の明確化と報告連絡体制の整備
組織的安全管理措置とは、マイナンバー管理を特定の担当者任せにせず、組織として安全に取り扱うための「体制」を整備することです。まず行うべきは、マイナンバーの取り扱い責任者(管理者)と、実際に事務を行う担当者を明確に任命することです。それぞれの責任の所在をはっきりさせることで、適切な監督体制を構築します。
さらに、担当者が一人で作業するのではなく、複数の目で確認するチェック体制を業務フローに組み込むことも重要です。例えば、マイナンバーを含む書類を作成する人と、それを提出する人を分けるといった方法が考えられます。また、万が一、規程違反や漏えいの恐れがある事態を発見した場合に、担当者から責任者へ迅速に報告するための連絡ルートを確立しておくことも、この措置に含まれます。
②人的安全管理措置:担当者への教育と監督の徹底
人的安全管理措置は、マイナンバーを取り扱う「人」に焦点を当てた対策です。どれだけ優れたルールやシステムがあっても、それを使う従業員の知識や意識が低ければ、情報漏えいのリスクはなくなりません。そのため、事務取扱担当者に対して、マイナンバーの重要性や適切な取り扱い方法についての教育・研修を定期的に実施することが求められます。
研修では、マイナンバー法の罰則の重さ、社内の取扱規程の具体的な内容、過去に起きた漏えい事故事例などを共有し、担当者の責任感を醸成することが効果的です。また、担当者にはマイナンバー情報に関する「秘密保持義務」があることを理解させ、就任時にその旨を記載した誓約書を取得しておくことも、不正利用の抑止力として有効な手段となります。
③物理的安全管理措置:保管場所の施錠管理や盗難防止策
物理的安全管理措置とは、マイナンバーが記載された書類や、それを保存したパソコン・サーバーなどを、盗難や紛失といった物理的なリスクから守るための対策です。まず、マイナンバーを取り扱う事務を実施する区域(管理区域)を明確に定め、例えばパーテーションを設置するなどして、他の従業員が容易に立ち入れない、あるいは覗き見できないような環境を整えることが基本です。
その上で、マイナンバーが記載された書類は、必ず施錠できるキャビネットや書庫に保管します。マイナンバーを扱うパソコンは、ワイヤーロックで机に固定したり、終業時には施錠できる棚に収納したりといった盗難防止策を講じます。また、USBメモリなどの外部記録媒体の安易な持ち出しや使用を禁止するルール作りも、重要な物理的安全管理措置の一つです。
④技術的安全管理措置:アクセス制御と不正アクセス対策
技術的安全管理措置は、マイナンバーをデータとして取り扱う際の、情報システム面でのセキュリティ対策を指します。最も重要なのは「アクセス制御」です。これは、担当者ごとにIDとパスワードを割り振り、許可された者しかマイナンバー情報にアクセスできないように制限することです。特に、マイナンバーそのものが含まれるファイルやフォルダには、より厳格なアクセス権限を設定する必要があります。
また、外部からのサイバー攻撃による情報漏えいを防ぐため、マイナンバーを取り扱うパソコンには、必ずセキュリティ対策ソフトを導入し、定義ファイルを常に最新の状態に保ちます。加えて、ファイアウォールを設置して不正な通信を遮断することも不可欠です。誰がいつシステムにアクセスし、どのような操作をしたかを記録する「ログ」を取得・保管することも、不正行為の抑止と、万が一の際の追跡調査に役立ちます。
【中小企業向け】従業員100名以下の事業者の特例措置とは
国は、大企業と同じレベルの厳格な安全管理措置を講じることが難しい中小企業の実情に配慮し、一部のルールを簡素化できる特例を設けています。この特例の対象となるのは、従業員数が100人以下の「中小規模事業者」です。
例えば、組織的安全管理措置において、取扱規程の策定が義務ではなくなったり(ただし策定が望ましい)、責任者と担当者を同一人物が兼任したりすることが認められています。また、物理的安全管理措置では、管理区域を明確に区分することが困難な場合、書類を施錠できるキャビネットに保管することで代替できるとされています。ただし、これはあくまで一部の措置が簡略化されるだけで、人的・技術的安全管理措置の基本や、マイナンバーを安全に取り扱うという根本的な義務が免除されるわけではありません。自社が特例の対象であっても、可能な限り厳格な管理を目指すことが重要です。
まとめ
企業のマイナンバー管理は、法律で定められた厳格な義務であり、社会的信用を維持するための重要な責務です。管理を怠れば重い罰則だけでなく、企業の存続に関わる信頼失墜にもつながりかねません。
本記事で解説した通り、マイナンバーの取り扱いは「収集・利用・保管・廃棄」の4ステップに沿って行い、その全工程で「組織的・人的・物理的・技術的」な安全管理措置を講じることが不可欠です。紙での管理か、セキュリティと効率化に優れたシステムを導入するかは、それぞれのメリット・デメリットを理解した上で慎重に判断しましょう。
この記事を機に自社の管理体制を再点検し、法改正にも適切に対応できる、安全で効率的な運用を目指してください。
