すべての企業が対応を求められるマイナンバー制度。
一体、何をどんな手順で行わなくてはならないのでしょうか。また、どんな苦労や落とし穴があるのでしょうか。

チームスピリット社では、ユーザー企業約80社へのアンケートで

  • マイナンバー収集保管について、どのような対応策を考えていますか?
  • マイナンバーの収集保管にあたって、大変だと感じることはどのようなことですか?
  • マイナンバーの収集保管にあたって、「想定外」なことは何かありましたか?

という質問を投げかけました。

回答を見ると、戸惑いながらもなんとか対応を進めているという担当者の皆さんの様子がよくわかります。今回もそんなマイナンバー担当者の生の声をご紹介しながら、企業が行うべき準備と対応のポイントを整理していきたいと思います。

●きほんの「き」――企業におけるマイナンバーの取り扱い

企業におけるマイナンバー関連事務の全体像は、次の通りです。

  1. 従業員や一時的な支払い対象者である個人事業主からマイナンバーを収集する。
  2. 情報漏えいがないように厳重に管理する。
  3. 「税」・「社会保障」の手続きに必要な各種書類に、マイナンバーと法人番号を追加で記載し、関連する機関に提出する。
  4. 社員の退職や書類の保存期間が過ぎるなどで、必要がなくなったマイナンバーは速やかに、かつ安全に削除・廃棄する。

マイナンバーを含む個人情報は、「特定個人情報」と定義されており、従来の「個人情報」よりも更に厳しい保護措置が定められています。違反行為に対する罰則も厳しくなっているため、企業は厳重な注意のもとでマイナンバーを取り扱わなくてはなりません。これが、企業の不安や負担を大きくしているのです。

では、実務ステップごとに最低限抑えておくべきポイントを整理してみましょう。

●マイナンバーの「収集」  

マイナンバーの収集にあたって、まず対象者の洗い出しを行います。まずは従業員とその扶養親族、さらに支払調書を出す必要のある個人支払先(税理士・社会保険労務士・弁護士など)が対象として挙げられます。
注意点としては、従業員はパート・アルバイト・日本に居住する外国人従業員も対象になること、また、非上場会社で株主に対する配当金が支払われる場合には、これら株主も収集の対象となります。

前回のコラムに記載した書類の多くは、平成28年1月提出分からマイナンバーの記載が必要となります。書類を作成する時期までには対象者を洗い出し、提示を依頼しなくてはなりません。

●「利用目的の明示」と「本人確認」

対象者が明確になったら、実際に収集作業を行うことになりますが、ここで重要なのは、「利用目的の明示」と「本人確認」が必要だということです。

・利用目的の明示
マイナンバーを収集する際は、税・社会保障・災害対応などの分野での利用目的を特定し、取得対象者へ事前に通知・公表しなくてはなりません。口頭では煩雑になるため、書面・社内のポータルサイト・就業規則への明記など、自社に合った通知方法を検討しましょう。

・本人確認
マイナンバーの取得にあたっては、「マイナンバーが本人のものであること」と「提示者が本人であること」の2点を厳密に確認する必要があります。本人確認の方法としては、次の2つが考えられます。

1. 個人番号カードの提示 :個人番号カードがあれば、それ1枚で本人確認ができます。
2. 通知カード+身分証明書の提示:通知カードだけでは本人確認ができないので、合わせて免許書やパスポートなどの提示が必要です。

(参考) 内閣官房 マイナンバー 社会保障・税番号制度 本人確認の措置
http://www.cas.go.jp/jp/seisaku/bangoseido/faq/pdf/q4-3-1.pdf


[アンケート] ここが大変!マイナンバー ~収集編~

さてアンケートを見ると、企業にとっては「マイナンバーの収集」が最初の大きなハードルとなっているようです。ここで、アンケートの記載された担当者の悩みとその対応方法について簡単にご紹介したいと思います。

✓通知カードの受取拒否をしている社員がいる。

実は、規定の書類にマイナンバーを記載しなかった場合の罰則規定は、税法上設けられていません。ただ、番号の記載は法律(国税通則法、所得税法等)で定められた義務なので、マイナンバーの提供が拒否された場合には、再度協力をお願いしたうえで、拒否の経緯・理由を管理台帳等に記録し、マイナンバーの記載なしで行政機関に書類を提出する必要があります。

✓まだ通知カードを受け取っていない社員がいる。

配送の遅れや住民票を変更しておらず受け取れない、など想定よりも収集に時間がかかるケースもあるようです。ギリギリになって慌てないように、対象者には早めに協力を依頼しておく必要がありそうです。

✓扶養親族の本人確認に手間がかかる。

従業員の扶養親族の本人確認にあたっては、本人確認を行う事務を事業者が従業員に委託することができます。この場合、企業が直接扶養親族の本人確認を行う必要はありません。

✓全国にいる社外パートナー(個人事業主)から、効率的にかつ安全に収集しなくてはならない。

アンケートでは、社外の収集対象者が300名にのぼるという企業もありました。特に地方在住の個人事業主と契約している場合には、対面でマイナンバーの提出や本人確認をすることが難しくなります。法律では電話・郵送・オンラインでの収集も認められていますが、いずれの手段をとるにしても、「正しい番号かどうか」、「提示した本人の番号かどうか」という本人確認を必ず行わなくてはなりません。

(参考)対面以外の本人確認方法については、こちらをご参照ください。
国税庁 国税分野における番号法に基づく本人確認法【事業者向け】
http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/kokuzei_kakunin.pdf


さらにややこしいのは、郵送やメールでマイナンバーを受け取った場合、 "送られてきた書類"をどう管理するか、という問題があることです。原紙やデータを厳重に管理、もしくは適切に廃棄しなければ情報漏えいのリスクが非常に高まります。

書類やメールを確認して社内システム(現在使用している給与管理ソフトや、人事ソフトなど)に入力したら原紙やメールは即廃棄する、メールに不要なCCは入れないなどの厳密な運用ルールを決めておくことが重要です。書類自体を残しておく場合も、担当者以外が手を触れられないような場所で管理しなければなりません。集める前に「廃棄」の問題を考えておく、というのがマイナンバー対応の大きなポイントです。

●マイナンバーの「保管」

さて、従業員・従業員の扶養親族・個人事業主から収集したマイナンバーは、厳重に保管する必要があります。マイナンバーの収集・保管・利用・廃棄の一連のプロセスにあたっては、「個人情報保護委員会」が策定した「安全管理措置(※1)」のガイドラインに従う必要がありますが、保管のポイントはやはり「廃棄または削除を前提とした保管体制を整える」ことにありそうです。

現在の実務では所管法令で定められた保存年数を過ぎても、社内に書類を保管し続けているケースが多いのではないでしょうか。しかし、マイナンバーは保存期間をすぎたら必ず廃棄または削除しなくてはなりません。
例えば「給与所得者の扶養控除等申告書」は7年、「雇用保険の被保険者資格取得届」は4年という保存期間が定められています(社員が退職した場合でも、保存期間中はマイナンバーを保管しておかなくてはいけません)が、この期間が終了したタイミングで速やかに廃棄・削除することが求められます。

現在は「とりあえず保管しておく」ということができますが、マイナンバーが書類に記載されるようになると、担当者は、いつ、どの書類・データを廃棄または削除するのかを常に把握しておかなくてはならなくなります。まずは、現在の書類やデータの保管体制を一度見直し、廃棄・削除をしやすい保管体制へと改めることが重要です。

(※1)
「個人情報保護委員会」は平成28年1月1日に「特定個人情報保護委員会」を改組して発足した組織です(平成27年9月に成立した個人情報保護法の改正にともなう変更です)
「安全管理措置」というのは情報漏えいを起こさないための保管体制を意味します。ガイドラインには「別添 特定個人情報に関する安全管理措置(事業者編)」として具体的な方法が提示されており、マイナンバーを取り扱う事業者は、ここで提示された通りの措置を講じる必要があります。
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
「安全管理措置」については、次回のコラムで詳しくご紹介します。


[アンケート] ここが大変!マイナンバー ~保管編~

マイナンバーの保管方法について質問したところ、下記のような分類となりました(無回答分を除く)。

「その他」では、給与ソフトの無料サービス、グループ共通で利用するクラウドサービスなどの回答が挙げられました。

では、それぞれの保管方法ではどのような注意点があるのでしょうか。

✓紙による保管
紙で保管する場合に最も重要なのは「どこに保管すべきか」ということです。「安全管理措置」では、適切な保管方法について示されていますが、「実際のところ、物理的に隔離できるスペースが作られていない」、「保管場所のセキュリティに不安がある」などの声が聞かれました。

✓アウトソーシングサービスを利用
今回のアンケートで、自社でマイナンバーを保管するのではなくアウトソーシングサービスに委託する企業が意外に多いことがわかりました。
おそらく、源泉徴収・社会保険関連の業務を税理士や社会保険労務士に委託している場合には、必然的にマイナンバーに関する業務も委託することになると思います。

ここで注意しなくてはならないのは、マイナンバー関連の業務を委託する場合は、委託先に対して必要かつ適切な監督を行う必要があるということです。企業は委託先に「安全管理措置」を講じてもらえるように必要な契約を締結するとともに、委託先におけるマイナンバーの取り扱い状況を把握することが必要となります。

✓パッケージソフトによる保管
現在、マイナンバーに対応するさまざまなパッケージソフトが登場しています。パッケージソフトで管理する場合には、できるだけ入力ミスが起こらないようにする、情報の元となる原紙の保管・廃棄方法を厳密に決めておくことなどが重要です。なかには「担当者が登録作業を行うのに時間がかかる」というような声もありました。企業によっては、「従業員や個人事業主自身に、自分でマイナンバーの登録作業をしてもらっている」というところもあるようです。収集対象者の規模によっては、セルフサービスを検討することもひとつの手かもしれません。

● マイナンバーの「廃棄」

最後に、従業員が退職するなどして書類を作成する必要がなくなった場合や書類の保存期間を経過した場合には、マイナンバーを廃棄・削除しなくてはなりません。

・マイナンバーをマスキングした上で書類を保存しておくことは可能。
あくまでも削除・廃棄しなくてはならないのは「マイナンバー」の情報なので、書類に記載されたマイナンバーを復元できない程度にマスキングまたは削除した上で、書類を保管することは可能とされています。

・復元不可能な手段で廃棄する
マイナンバーを廃棄または削除する際、紙の場合は焼却・溶解・シュレッダーなどを使用する、データの場合は専用のデータ削除ソフトウェアを使用する、またはメディアを物理に破壊するなどして、復元不可能にすることが必要です。

ここが大変!マイナンバー ~削除編~

アンケートでは、やはり「情報削除のタイミングがわからない」というような声がありました。「保管」のところで書いたとおり、「どの情報をいつ削除すべきか」ということがすぐに把握できるような管理体制を整えることが重要なポイントとなりそうです。

さて、以上の通り企業に必要なマイナンバー対応について簡単にまとめてみましたが、「収集」の段階からすでに企業にとっては大きな業務負担やリスクが発生しているようです。準備不足なままでマイナンバーを収集してしまい、それが情報漏えいにつながってしまったら大変なことになってしまいます。
マイナンバーを取扱うプロセス、想定されるケースを洗い出したうえで、事前にしっかりとルールを決めておくことが必要だと感じました。

次回は企業のマイナンバー対応の一番の肝にとなる「安全管理措置」について、整理したいと思います。

(参考)内閣官房 マイナンバー社会保障・税番号制度 民間事業者の対応
http://www.cas.go.jp/jp/seisaku/bangoseido/download/jigyou_siryou.pdf

実務に使える!マイナンバー制度 徹底解説講座Ⅱ

このコラムは2015年6月公開のマイナンバー制度 徹底解説講座を2016年2月時点の最新情報で再編集したものです。