レポート

民間企業の急務!マイナンバー対応ポイント

牛島総合法律事務所 弁護士 影島 広泰氏

01 概要 社会保障・税番号制度とは

影島広泰氏

 民間企業が個人番号を扱う場面は、一言でいうと「民間企業が行政機関に提出する書類に個人番号を書く場面」であり、マイナンバー法9条に定められた場合以外に個人番号を利用すると違法になる。

 「特定個人情報」とは、基本的には個人情報に個人番号が付いたものであり、データベース化したもの、エクセル形式で保存したものなど、特定個人情報を検索可能な形で保存したものを「特定個人情報ファイル」という。データベースのリレーションの張り方や、画面設計、アクセス制御によって、必要な範囲を超えて「特定個人情報ファイル」を作らないよう、システム上、コントロールすることが必要である。

 罰則のうち、民間企業に直接影響がありそうなものは下図の通りである。近時、会社の顧客の個人情報を抜き取って名簿屋に売るという事件があったが、こうした事例に対して個人情報保護法上は罰則の適用がなく、当該情報が不正競争防止法上の営業秘密に当たるということで、同法違反で刑事訴訟に持ち込んでいる。しかし、仮に当該情報に個人番号が付いていたら、正当な理由なく「特定個人情報ファイル」を第三者に提供したことになるので、4年以下の懲役もしくは200万円以下の罰金(または3年以下の懲役もしくは150万円以下の罰金)が科される刑事事件となる。しかも両罰規定があり、企業も刑事事件の被告人になってしまう。

社会保障・税番号制度の概要 罰則(主要なもの)

02 実務対応 業務構築のポイント

 個人番号は、入社時・異動時(結婚し配偶者の扶養に入る時 等)に提供を受ければ、原則、それを継続的に利用して良い。従業員との関係における典型的な利用場面は、税務署への提出書類に従業員の個人番号を書く際であろう。2017年1月に提出する、2016年の源泉徴収票から、従業員、控除対象配偶者、控除対象扶養親族の個人番号を書かなければならない。源泉徴収票に記載する際には、会社は、所得税法上、他人である従業員の個人番号を記載した書面を税務署に提出する事務を行うことになるので、「個人番号関係事務実施者」として個人番号を利用することができ、個人番号の提供を受けることになる。  これに対し、扶養控除等(異動)申告書に関しては、従業員は、所得税法上、他人である扶養親族等の個人番号を記載した書面を税務署に提出する義務を負っているから、個人ではあるが自身が「個人番号関係事務実施者」ということになる。従業員から会社、会社から行政機関という流れは、個人番号関係事務実施者、個人番号利用事務実施者間の情報のやり取りなので、ここでは本人確認が必要なく、最初にこの書類に記載するために番号の提供を受けている従業員が本人確認をしなければならない。従って従業員が扶養親族等から番号の提供を受ける際に本人確認をすればよく、会社は扶養親族等についての本人確認は不要である。  なお、従業員の場合には、入社時に本人確認をしている場合等には、身元(実在)確認が「不要」という例外規定が定められている。実務上は、毎回運転免許証で確認するといった手順が不要になるケースが多いだろう。また、法人番号は本人確認が不要なため、電話や電子メールでの問い合わせが可能である。  株主に関する対応事項も従業員同様、配当、剰余金の分配及び基金利息の支払調書に個人番号が必要なため、上場会社は「ほふり(証券保管振替機構)」から個人番号の提供を受ける必要がある。つまり、上場会社はほふりで集めてくれるので自社で集める必要はない。上場会社以外は株主から直接提供を受ける必要があるので実務的には2016年1月以降、招集通知の中に個人番号をお知らせください、という紙を同封し返信してもらうことが必要であろう。ただし、既存の株主に関しては3年間の経過措置があるのでこの間は支払調書に番号を書かなくてもよいとされている。

03 情報管理(安全管理措置)

 個人情報保護法には削除の規定はなかったが、マイナンバー法の下では、特定個人情報は行政機関に提出する書類に個人番号を書く場面以外では保有してはならないし、特定個人情報ファイルは必要な範囲を超えて作成してはならないとされているので、不要になった後は持っていてはならない。そのため、個人番号が不要になり、かつ、書面の法定保管期間を経過したら廃棄または削除するという業務プロセスが定められていなければ、かかる業務プロセスを整える必要がある。

 委託については、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置が講じられている必要がある。例えば、生命保険会社が契約者あるいは受取人の特定個人情報の取扱いを代理店に委託する場合には、代理店が小規模な事業者であっても生命保険会社自らが果たすべき安全管理措置と同等の措置が講じられていることが必要である。委託は、会計事務所、社会保険労務士事務所に帳票の作成を委託する場合や、グループ企業内で人事の情報を親会社、ホールディングカンパニー、サービスカンパニーが一括で管理している場合にも生じるが、いずれの場合も、委託契約を見直し、委託内容に特定個人情報の取扱いを追加するだけでなく、1)秘密保持義務、2)事業所内からの特定個人情報の持出しの禁止、3)特定個人情報の目的外利用の禁止、等の規定を盛り込まなければならない。

 また、再委託も、再々委託に際しても、最初の委託者の許諾が必要である点が個人情報保護法との違いなので注意が必要である。システムログや利用実績の保存期間については、番号法ガイドラインには明確な規定はないが、金融庁実務指針等を参考にすれば、定期点検や監査の際にログが残っていなければ無意味なのでその時点まで残しておくことが必要であるといえよう。

 特定個人情報を廃棄または削除する場合には、復元できない手段で削除する必要がある。ガイドライン上、特定個人情報ファイル中の個人番号または一部の特定個人情報等を削除する場合は、容易に復元できない手段を採用すればよく、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合には、専用のデータ削除ソフトウェアの利用または物理的な破壊等により、復元不可能な手段を採用することが例示されている。

04 今後のロードマップ

 2015年10月の番号通知時期頃から顧客や株主からの問い合わせが来ることが予想されるため、それらへの対応方法や社内教育を終了することが必要であるので、2015年夏までに体制作りに目処をつける必要があるだろう。