ITpro Special
週間WEEKLY ITpro Special ITpro

民間企業のための「マイナンバー」カンファレンス 2 REVIEW

【基調講演】

個人番号は社会保障と税、災害対策だけで利用
法人番号は原則公開、民間が自由に利用可能

内閣官房
社会保障改革担当室
内閣府
大臣官房番号制度担当室
参事官
阿部 知明

 「マイナンバー制度は社会保障と税制度の効率性と透明性を高め、公平・公正な社会を実現するためのものです。個人番号を使えるのは、原則として社会保障と税、災害対策の3分野に限られます」。内閣官房の阿部知明氏はこう話す。

 市町村は住民一人ひとりに12ケタの個人番号を通知し、国税庁は法人などに13ケタの法人番号を通知する。特定個人情報(個人番号にひも付けた個人情報)の利用範囲は限定され、利用目的を超えた目的で使用することを禁止しているのに対し、法人番号は原則として公開され、民間が自由に利用することが可能だ。

2016年1月から法定調書などに記載 顔写真付きの個人番号カードを交付

 特定個人情報は、今までどおり、年金の情報は年金機構に、児童手当や生活保護に関する情報は市町村に、といった形で分散して管理されるが、法律が定めた事務を行うために必要な場合には、行政機関は情報提供ネットワークシステム(特定個人情報を関係機関の間でやり取りするためのコンピュータネットワークシステム)経由で他の行政機関に特定個人情報の提供を求めることができる。その際、その照会・回答の記録をログとして残すこととなっており、住民は情報提供等記録開示システム「マイナポータル」経由でそのログを見ることで、自分の特定個人情報を、誰がいつなぜ提供したのかを確認できる。これにより、行政機関が不正な情報のやり取りを行っていないかチェックすることが可能な仕組みとなっている。

 個人番号と法人番号の通知は今年10月から始まり、2016年1月から申告書、法定調書などにこれらの番号を記載することとなる。なお、個人番号の通知の際には、通知カードという写真付きでないカードが送られるが、同封の申告書に写真を添付して送り返してもらえれば、無償で顔写真付きの個人番号カードを交付する(スマホでの申請も可能とする予定)。民間企業は個人番号を従業員などから取得し、源泉徴収票や支払調書の作成、健康保険や厚生年金、雇用保険の被保険者資格・取得届の作成、様々な法定調書や被保険者資格取得届などに個人番号を記載し、行政機関に提出する。個人番号を従業員などから取得する際は利用目的を明示し、個人番号カードなどにより、本人確認(番号と身元の二つの確認)を厳格にしなければならない。

 「個人番号の取り扱いを分かりやすく解説したガイドラインを用意し、民間企業へのヒアリングや企業の実務担当者が参加する検討会の議論を踏まえ、個人番号が実務で適切に扱われるための具体的な指針を示しています。また、実務で直面した問題に対応するためマイナンバー専用のコールセンターも用意し、社員研修にも使える30分程度にまとめたビデオなどもあります。ご協力をよろしくお願いします」。阿部氏はこう言って講演を終えた。

【特別講演】

マイナンバーの取得から廃棄まで
プロセスごとに適用される条文なども整理

特定個人情報保護委員会
事務局
総務課長
松元 照仁

 「特定個人情報の取り扱いに関するガイドラインをまとめましたが、マイナンバーの取得から利用に至る一連の流れの中でどのような措置が必要かという視点でとらえていただければ分かりやすいと思います」。こう話すのは特定個人情報保護委員会事務局の松元照仁氏だ。

 特定個人情報保護委員会は2014年、マイナンバー法に基づいて設置された委員会で、公正取引委員会や国家公安委員会と並んで独立性が高い。マイナンバー制度によって新しく生まれた特定個人情報の適正な取り扱いを確保するために必要な措置を担う。その一環として「特定個人情報の適正な取扱いに関するガイドライン」をまとめており、これが民間事業者に求められる特定個人情報の管理措置の指針になっている。

取得や利用、保管などに制限 実態を踏まえた運用も可能

 マイナンバーの取得から利用までの流れとは、具体的には取得、安全管理措置、保管、利用、提供、開示・訂正・利用停止等、廃棄という七つのプロセス。事務局が昨年末にホームページに公開した16ページ建ての「マイナンバーガイドライン入門(事業者編)」でも、それぞれのプロセスごとにマイナンバー法の条文やガイドラインの項目のどれに当たるかを例示している。

 マイナンバーの取り扱いでは、番号の取得や利用、保管などについて厳しい制限がある一方で、実態を踏まえた運用も可能だ。企業が社員に個人番号の提供を求めるケースはその一例。原則として「個人番号関係事務が発生した時点」に提供を求めるが、民間事業者の運用実態を踏まえ、雇用契約を締結したときのようなマイナンバー関連の事務が発生すると予想できる時点でも提供を求めることはできるとしている。

【特別講演】

個人情報保護法とは異なり全ての民間企業にも適用
中小規模事業者には特例を設け実務への影響に配慮

特定個人情報保護委員会
事務局
総務課
調査官
大塚 徹郎

 「マイナンバー制度は個人情報保護法の適用対象ではない民間事業者にも適用されます。従業員数100人以下で一定の条件を満たす中小規模事業者には、安全管理措置の対応方法に特例を設けることで、実務への影響を抑えるように配慮しています」。特定個人情報保護委員会事務局の大塚徹郎氏はこう話す。

 マイナンバー法では、情報漏洩などを防止し、特定個人情報を適正に取り扱うため、組織的安全管理措置や人的安全管理措置、技術的安全管理措置、物理的安全管理措置という保護措置を設けている。特定個人情報保護委員会は「特定個人情報の適正な取扱いに関するガイドライン」を策定し、民間事業者に求められる安全管理措置についてまとめている。

実務上、一定期間経過後に確実に削除できる設計に

 法定の保存期間が過ぎて必要性がなくなった特定個人情報は速やかに削除しなければならない。中小規模事業者の場合は「削除・廃棄したことを責任ある立場の者が確認する」ことが求められるが、それ以外の事業者の場合は、「削除または廃棄した記録を保存する」ことが求められる。源泉徴収票の作成でマイナンバーを含む個人情報を扱う人事給与システムのような情報システムでは、実務上、一定期間経過後にマイナンバーを確実に削除できる設計にしておく必要がある。マイナンバーの取り扱いに関し、企業などに対して特定個人情報保護委員会が報告を求めることや立ち入り検査もあり得る。

 「これまでの情報システムでは、個人情報の保存期間経過後の取り扱いについて、それほど厳密に設定していなかったかもしれません。しかし、これからはマイナンバーについてはきちんと削除できることを前提とした情報システムを構築していただければ幸いです」。大塚氏はこう話して講演を終えた。