レポート

民間事業者におけるマイナンバー導入に伴う対応策

JIPDEC電子情報利活用研究部 部長
マイナンバープロジェクト対応プロジェクト室 主席研究員 坂下 哲也

いよいよ始まるマイナンバー

坂下哲也

 「行政手続きにおける特定の個人を識別するための番号の利用に関する法律」(以下、「番号法」)が成立し、マイナンバー法対応がいよいよ始まる。個人番号は公正性を担保するために、税や社会保障に関連する情報を紐づける番号であるので、税、社会保障にとどまらず、預貯金、証券取引などにも使われるのではないか。一方で、そのような番号が一旦、漏えいした場合には、購買履歴や病歴など様々な情報が紐づいてしまう。それによって、国民が精神的、又は財産的苦痛を受ける-プライバシー侵害-ことが想定されるため、厳格な運用が求められている。特定個人情報とは、個人情報保護法に言う「個人情報」や「個人情報ファイル」において、番号法が定める「個人番号」が付与されている状態のもので、個人番号だけでも特定個人情報になるとされている。

 民間事業者においては、平成28年1月1日前に締結され、同日以降に行われる「税法上告知したとみなされる取引」についてはすべて番号を振ることになっている。3年間の経過措置が設けられ、この期間は個人番号が空欄でも書類を受理してもらえるが、人の出入りが多い場合、当該従業員(パート、アルバイトを含む)が離職した後の追跡が困難になるので、28年1月1日以降、予め番号の提供を受けた方がよいと思われる。

マイナンバーが使われる事務

 個人番号を取り扱う民間事業者は、個人番号関係事務実施者である。主に民間事業者が個人番号対応を求められる対象業務を税・帳票別にみると、1)酒税・間接諸税、2)法定調書、3)申請書・届出書、4)消費税であり、主に個人が対応を求められる対象は所得税、贈与税、相続税である。  平成28年1月1日の個人番号の利用に関する規定の施行日前に、従業員に個人番号の告知を求めてはならない、とされているが、事業者や委託を受けている税理士等の業務が短期間に集中する可能性が高いため、政府でも見直す動きが出てくるのではないか。  現在、政府の公開資料を基に、民間事業者における個人番号の取り扱いに向けた準備等では、平成27年10月頃までに通知、書類(雇用契約等)の準備、安全管理措置の確認をしておくことが必要であろう。そして、平成28年1月に控除対象配偶者・扶養親族の確認、個人番号の記入、源泉徴収税額の計算・徴収を行い、平成29年1月源泉徴収票の提出、源泉徴収税額の納付というスケジュールになるであろう。  民間事業者は、事務形態が多様である。よって、各事務形態によって、対応方法が異なる。具体的には、事務形態が手書きの場合、特定個人情報や各種帳票などの紙媒体を金庫などで厳重に最長7年間管理保管しなければならない。また、汎用ソフト(エクセルなど)やパッケージの場合、特定個人情報や各種帳票などのデータを特定のPCや媒体で管理保管(第三者が使用することがないようPCのアクセス権やセキュリティ(ログの取得 等)を厳重に対策)しなければならない。更に、クラウドサービス利用の場合、提供事業者の安全性のチェックも必要だろう。

マイナンバーの取り扱いに関する注意点

 政府「特定個人情報の適切な取扱いに関するガイドライン(事業者編)」は、そのままだと読みにくいため、個人番号等の個人情報のライフサイクルに沿って読むと、多少分り易い。取得から廃棄までの各ステップについて、個人情報保護法、ガイドライン、番号法のどの条文に対応するのかを一覧にしたので参考にして頂きたい。(下図参照)

ガイドラインと番号法の対応

 個人番号の取り扱いについては、リスク対策が求められている。民間事業者における個人情報の取り扱いにおけるリスクとは「顧客や従業員等に経済的、精神的等の損失を与え、ひいては当該事業者に対する信頼を毀損してしまう危険性(可能性)」をいう。この危険性を軽減することを「リスク対策」という。プライバシーマークが参照している「JIS Q 15001:2006 個人情報保護マネジメントシステムー要求事項」では、「収集」「保管」「利用」「委託・提供」「廃棄」というプロセスを定義し、各プロセスにおけるリスクを例示している。リスクに対してマニュアル作成や保管手順の取決めなどプロセス上のルール決定、システム上のセキュリティ対策を講じるが、セキュリティ上の脅威はゼロにはならない。これを「残存リスク」という。

 リスクへの対処方法は、①受容する(認める)、②転嫁する(影響や責任の一部または全部を第三者に移す)、③回避する(対策を打つ)の3通りである。個人番号におけるリスク対策とは、特定個人情報が漏えい等しないように、あるいは問題が発生した際に何らかの対策を講じることができるか否かを、「リスクについて受容しているところ、対策を打っているところ、「不足している」と思われるところ」を可視化するよう求めているものである。

リスク分析に関する一つの考え方

 番号法(27条)が規定する「特定個人情報保護評価」とは、特定個人情報ファイルの保有・変更にあたり、プライバシーや特定個人情報へ及ぼす影響を事前に評価し、その保護のための措置を講じる仕組みをいう。海外で行われているプライバシー影響評価(PIA)に相当するものであり、①必要最低限の個人情報を取り扱っている(社会保障と税について法律で規定されているものの中で必要な個人情報だけを扱っている)、②必要な個人情報を扱う上でのルールを作っている、③取り扱うシステムはベストエフォートな状態であることを示すことで、総じてプライバシーが守られることを宣言するものである。  JIPDECでは、自治体が行う特定個人情報保護評価を支援するサービスを行っている。これは、自治体の用いる評価書は、JIS Q 15001(組織に対する個人情報のプロセスを規定)もしくは 27000(情報を資産として考えた場合のセキュリティリスク)を適用することによって評価できることを確認し、推進しているものである。なお、政府も、「既にプライバシーマークを取得している情報保有機関については、情報保護評価書にその旨を記述することで、個人情報保護に対して適切な体制を採っていることを宣言することができる」(平成25年度中間整理など)としている。  「特定個人情報の適切な取扱いに関するガイドライン(事業者編)」では、事業者は自治体が行う特定個人情報保護評価を実施することが有用であるとしている。また、従業員100人以下の中小事業者を「中小規模事業者」と位置付け、特例的対応を定めている。しかし、委託を受ける事業者は、その特例的対応が適用されないとされている。つまり、税理士、社労士、給与代行業者など、事業者の個人番号を伴う関係事務の委託を受ける事業者は、その規模に関わらず、個人番号の取り扱いに関する保護体制を評価し、適切な管理が行われていることを宣言する必要があるのではないか。対策として、適切な管理が行われていることを担保するために、税理士法人など法人格を持つ事業者であればプライバシーマーク付与認定を受けるのも一つの方法であろう。しかし、法人格を持たない個人で営業している税理士・社労士などについて、その安全性を如何に担保していくのか、また、委託先は委託元の保護レベルに合わせる必要があるが、零細事業者など措置がそもそも取れない場合、どのように対処するのか明確になっていない。JIPDECでは今後そういった点についても関係各方面と対話し、検討を進め、対応策を具体化していきたいと考えている。