2015-11-28 専門家が語る。フランチャイズ・独立開業コラム
エール労務サービス代表 社会保険労務士
兼峯 大輔 |
企業・ビジネスパーソンなら知っておきたい。来年からのマイナンバー対策まとめ
このコラムのポイント
年内の間に続々届く予定の通知カードと、来年1月以降申請した人に交付される個人番号カード。これが各社員の手元に届きますが、会社として社員の番号を収集し、扱う際には利用目的も明確に伝えねばなりませんし、セキュリティ対策も講じなくてはなりません。今回のコラムでは、企業が知っておきたい来年からのマイナンバー対策法をまとめています。
フランチャイズWEBリポート編集部
特定個人情報を扱う人=個人番号利用事務等実施者は行政+民間企業
先のコラムでは、マイナンバー管理のための担当者を決める、運用ルールの重要性について解説しました。
マイナンバー(個人番号)をふくむ特定個人情報を取り扱うには、「個人番号利用事務実施者」と「個人番号関係事務実施者」の2種類があります。前者は主に行政、後者は主に民間企業です。その両者を合わせて「個人番号利用事務等実施者」と称します。
「他人の個人番号を記載した書面の提出そのほかの他人の個人番号を利用した事務を行うものとされた者は、当該事務を行うために必要な限度で個人番号を利用することができる」(9条3項)との条文で記されている通り、法9条に定められた場合以外に企業(個人番号関係事務実施者)が個人番号を利用することはできません。
社員の代行でマイナンバーを扱う際の作業3つ
たとえば「健康保険高額療養費支給申請書」などは、書類の内容からして本人が直接行政機関に提出すべきものですが、現在、多くの場合、企業がそれを代行して取り扱っています。マイナンバー法の施行を機に企業が取り扱いをやめるという方策も考えられますが、継続して行う場合は以下3つの方法が考えられます。
1.企業が従業員の「代理人」として行政機関に種類を提出する
2.封書に封入してやり取りを行う
3.健康保険組合等から個人番号を取り扱う事務の委託を受けて受託者として事務を行う
1の場合は、行政機関が本人確認を行う必要があります。企業は代理人である法人として本人確認種類を提出しなければなりませんから留意が必要です。
なお、一度取得した個人番号をその後、多岐の用途で使用することは、取得の際に利用目的を明示しておけばかまわないとされています。
これとは別に上場企業では株主からも個人番号を取得する必要があります。ただし、株式等振替制度の対象で株主を証券保管振替機構が管理している企業は、株主の個人番号は証券会社経由で同機構が取得していますので、企業は同機構から提供されるという流れになります。
また取引先との関係で個人番号が必要になるケースには、税理士や社労士、弁護士などの報酬への支払調書や、賃貸している不動産オーナーに対する支払い(不動産の使用料等の支払調書)等が挙げられるでしょう。
従業員退社後の保管期限は7年。データ削除の際も記録義務あり
マイナンバー法では、一旦保管したものの職員が退職した場合や死亡した場合は個人番号の記載されている書類とデータは廃棄および削除が義務化されています。
企業が個人番号を保管してよいとされるのは行政に書類を提出するために必要な場面だけですから、役所に提出する事務を行う必要がなくなり、かつ保管の義務期間を過ぎた時点で廃棄しなければなりません。
たとえば、「給与所得者の扶養控除等(異動)申告書」の保管期間は7年間ですから、7年経ったらそのまま保管し続けておくことはできなくなります。
データベースに入っている個人データも削除しなければなりません。書類のデータを廃棄する規定を設けている企業は多くなく、まだ書類廃棄のルール化がなされていない企業は、新しく廃棄の仕組み作りに着手する必要があります。たとえば、総務部長が年に一度、12月に保管書類の洗い出しを行い、退職後7年経った従業員の書類を一括破棄し、保存データを削除するなどの規程を定めるということです。
さらに、削除または廃棄した記録を保存することが義務化されていることも重要なポイントです。
どのデータ、どの書類を削除、もしくは破棄したのかを記録として残しておかなければならないという決まりになっています。
書類の破棄やデータの削除を第三者に委託した場合は、委託先から破棄または削除した証明書を提出させる必要があります。
情報管理はシステム区域と事務区域、2つの場所が必要
次に情報管理の問題に関しては、新しく「管理区域」と「取扱区域」という概念が生まれ、区域による管理の方策を講じるよう明示されています。
「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域で、サーバールームのような場所です。
もう一方の「取扱区域」とは、特定個人情報を取り扱う事務を実施する区域で、総務部や経理部などの一般的な事務オフィスのような場所をいいます。
もう一方の「取扱区域」とは、特定個人情報を取り扱う事務を実施する区域で、総務部や経理部などの一般的な事務オフィスのような場所をいいます。
事務を実施する「取扱区域」は壁や間仕切りをするなど物理的対策をすべし
これまでの情報管理は主に「管理区域」で厳格に実施されていましたが、マイナンバー法の下では、「取扱区域」においても物理的な安全管理の措置を講じなければならないとされています。
たとえば、壁や間仕切り等の設置や座席配置の工夫を行うといったことで、座席配置工夫の例を挙げると、事務取り扱い担当者以外の往来が少ない場所の座席配置や、後ろからのぞき見される可能性が少ない場所への座席移動等が考えられます。物理的な部分でも配慮が必要なのです。
当該制度に関してはまだ国の方針が固まっていない部分も存在します。まずはできるところから着手をして、最新の情報を常に察知し収集しながら、きめの細かい対応を推進していくことが望まれます。
会社としての対応が遅れないためにも今からでも十分な取り組みを行いましょう。