5分で分かるマイナンバー：自分との関わりは？ 業務への影響は？（4/5 ページ）

4分：民間企業に求められるマイナンバー対応とは

　さて、このようにマイナンバーが「社会保障」や「税」といった分野で活用されるとなると、民間企業の側にも対応が必要となります。給与や報酬などの支払いと税とは切っても切れないものですし、福利厚生と社会保障も同様です。

　具体的に対応が必要になるのは、給与・人事システムや支払いシステムです。源泉徴収書や各種帳票、社会保険の被保険者資格取得届などにマイナンバーを記載する必要が生じます。このニーズを見越して、ベンダーやインテグレーターが続々とマイナンバー対応ソリューションを提供し始めていますが、まずは自社内でマイナンバーを必要とする業務・プロセスを洗い出し、スコープを明確にすることが初めのステップになるでしょう。

,民間企業におけるマイナンバーの利用例（内閣府のマイナンバー制度概要資料より）

　また、このプロセスに際して、雇用主となる企業は、従業員やその扶養家族のマイナンバーを取得する必要がありますが、その際にも留意すべきポイントがあります。

　まず一つは、「本人確認」を行うこと。既に雇用関係があり、本人であると認められる場合は不要となることもありますが、「個人番号カード」、あるいは「通知カードと運転免許証などの身元確認」といった手段で、厳密に本人確認を行うことが求められます。もう一つは、マイナンバーの利用目的を示すことです。マイナンバーの目的外利用は禁じられており、後から利用目的を追加することもできません。マイナンバー取得時にその目的をきちんと示すこと、細かく列挙することが難しければ源泉徴収や健康保険の手続きなど、包括的に利用目的を明示することが必要です。

　そして、マイナンバーを取得した以上、企業には（もちろん行政機関や地方自治体にもですが）「安全管理措置」が科せられます。マイナンバーを含む個人情報は、通常の個人情報よりも重い「特定個人情報」となり、 「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」に沿って扱う必要があります。いわゆる個人情報保護法では、「5000件」が適用事業者か否かの一つの目安となっていますが、特定個人情報は件数に関わらず全ての事業者が対象となります。

　具体的に、どのような対策が求められるのでしょうか。技術的安全管理措置としては「アクセス制御」「アクセス者の識別と認証」「外部からの不正アクセスの防止」「（暗号化などによる）情報漏えいの防止」などが挙げられています。同時に、組織、人、物理的な安全管理措置を講じることも求めています。そして、その大前提となるのが、特定個人情報の扱いに関する「基本方針の作成」です。ガイドラインには事細かな項目もありますが、基本的には、従来の個人情報保護の取り組みの延長線上にあり、それをより厳格に実践するものと考えればよいでしょう。

　ただし、マイナンバーは他の個人情報同様、目的外の利用は禁止されています。営業成績とひも付けて従業員管理に用いる、といった使い方はNGです。

　それを担保するため、制度面も整備されました。特定個人情報保護委員会による監視・監督や特定個人情報保護評価、罰則の強化などです。特に罰則は個人情報保護法以上に重い規定で、「個人番号利用事務等に従事する者が正当な理由なく、特定個人情報ファイルを提供」した場合は、「4年以下の懲役もしくは・かつ200万以下の罰金」が科せられることとなっています。上記のように、従業員管理に利用するケースも罰則の対象となります。

　一連の業務を委託することも可能ですが、その場合でも企業には安全管理に関する監督義務が科せられることになります。丸投げはダメ、ということですね。また忘れがちですが、退職者が生じた場合には、一定期間後にその情報を消去するプロセスも視野に入れておく必要があります。