マイナンバーの適正な管理方法～保管から廃棄まで～

セキュリティ マイナンバー

平成28年1月からマイナンバー制度が本格的にスタートし、企業はマイナンバーの「収集・保管・利用・廃棄・委託」を適正に行うことが求められています。しかし、特定個人情報であるマイナンバーの取り扱いには様々な規定や罰則がともない、具体的にどう管理していけば良いのかお悩みの担当者の方も多いと思われます。
なぜ、マイナンバーを厳格に取り扱う必要があるのか？その理由を正面から考察することを通して、企業に最適なマイナンバー管理のあり方について考えていきます。

マイナンバーの厳格な管理はなぜ必要なのか？

そもそもマイナンバー制度とは、社会保障や税務などの行政サービスの適正化と効率化を促すために、住民票を有するすべての個人および法人に12桁の番号（マイナンバー）を割り当て、行政機関および民間組織に混在する個人情報の同一性を確認するための制度です。

マイナンバーは完全に個人が特定できる「特定個人情報」となりますので、平成28年1月から施行されている「行政手続における特定の個人を識別するための番号の利用等に関する法律（マイナンバー法）」では、従業員および家族のマイナンバーを取得して行政手続きを行う企業に対し、従来の個人情報保護法よりも厳しい取り扱いの規定や罰則を設けています。

マイナンバー法では、従業員から取得した特定個人情報を適正に管理することを、行政手続きを代行する企業の法的拘束力をともなう義務として位置づけています。このため、企業はマイナンバーを取り扱う専門の事務取扱責任者や事務取扱担当者を選定し、個人情報流出のリスクを回避する適切な手段で「収集・保管・利用・廃棄・委託」を行うことが求められているのです。

マイナンバーの保管期間は定められている

個人情報保護法では、「特定個人情報は限定的に明記された事務を行う必要がある場合に限り、保管し続けることができる」と規定しています。一方、企業は従業員の雇用期間中は納税申告や社会保障関連の申請書類の届出を代行していくため、特定個人情報であるマイナンバーの記載された行政関連書類を一定期間保管しなければなりません。

これに基づき、マイナンバー法では、個人番号が記載された書類に関係法令の規定に沿った法定保存期間を定めています。

現段階では電子媒体としてこれらの書類を管理する場合の明確な法定保存期間は規定されていませんが、マイナンバー法では扶養控除申告書などの税務関係書類については書類と同等の期間を適用することから、デジタルで管理を行う場合も同様の保管期間を設定することが賢明と思われます。

マイナンバーの保管に向いているのはデジタル？アナログ？

実際に企業でマイナンバーを保管・管理するにあたっては、書類などのアナログ的な保管管理と、PCを利用したデジタルでの保管とのどちらが適切なのか、お悩みの事務取扱責任者や事務取扱担当者の方が多いものと思われます。

平成26年12月に特定個人情報保護委員会が発行した『特定個人情報の適正な取扱いに関するガイドライン』では、「マイナンバーの保管が記載された書類や電子媒体の保管方法」として「個人番号および特定個人情報の漏えい、滅失又は毀損の防止」のために、企業は必要かつ適切な「安全管理措置」を講じなければならないとしています。詳細は同ガイドラインにて開示されていますので、ここではアナログ管理・デジタル管理のそれぞれについて重要と思われる留意事項をまとめてみます。

マイナンバーの適切な保管方法＜アナログの場合＞

従業員のマイナンバー通知カードのコピーや、マイナンバーが記載された帳票をファイリングして保管する場合、その業務には組織が決定した事務取扱担当者および事務取扱責任者しか携わることができないので、注意が必要です。

特定個人情報の流出防止には充分な配慮が求められますので、事務取扱担当者に対して業務上知り得た個人情報の守秘義務契約書を交わし、情報流出を監視するために事務取扱責任者が定期的に保管されたファイルをチェックするなど、万全の管理体制を整えておく必要があります。

また、物理的にも堅牢な保管体制が求められます。マイナンバーが記載された書類は、鍵のかかる保管庫、キャビネット、金庫などに収納し、施錠管理を行うことが求められています。ガイドラインでは、保管室にICカードや生体認証装置を用いて、厳格な入退出者管理を行うことまで推奨しています。

マイナンバーの適切な保管方法＜デジタルの場合＞

多くの企業では、会計ソフトや基幹業務システムを活用し、情報の管理をデジタルで行っているものと思われます。従業員が多くなれば処理量も拡大しますので、マイナンバー対応業務を一括で管理できるデジタルでの保管は、アナログよりも効率的です。しかし便利な反面、ネットワークなどを介して暴露ウイルスを侵入させるなど、システム外部への特定個人情報の流出リスクは高くなるので、注意が必要です。

そのため、デジタルで保管する場合は、セキュリティ対策の強化が必須課題となります。マイナンバーを扱うPCはネットワークに接続しない、マイナンバーのデータは専用のUSBメモリに保存する、システムへのアクセスを厳重に監視するなどの措置を施してください。また、マイナンバー専用USBメモリの施錠保管やマイナンバーを扱うPCが設置される部屋への入退出者管理システムの適用など、物理的なセキュリティへの配慮も、アナログ保管と同様に求められます。マイナンバー対応を機会に、企業のセキュリティ対策の抜本的な見直しを行うことをお勧めします。

デジタルとアナログの保管方法の違いを簡単にまとめますと上の表のようになりますが、行政手続きに関連する書類の管理は会社の規模や適用する業務システムによって違ってきますので、事務取扱責任者と事務取扱担当者で話し合い、業務の効率性と安全性を担保する最適なマイナンバー保管体制を構築していくことが望まれます。

マイナンバーの廃棄を忘れずに

最後に非常に重要なことですが、特定個人情報の管理は、保管から廃棄へのプロセスを経て完結します。マイナンバー保管期間経過後に適正な破棄の手続きを行うことで、特定個人情報流失のリスクが完全に解消することをしっかりと銘記してください。

マイナンバー法では、マイナンバーが記載された書類や電子媒体は保管する必要がなくなった時点で速やかに廃棄または削除することを義務づけています。また、破棄の際には、「特定個人情報ファイルの種類や名称」、「責任者・取扱部署」、「削除・廃棄状況など」を記載した記録を残しておくことが義務づけられていますので、注意が必要です。

従業員の退職や離職にともないマイナンバーを廃棄する際には、次の手続きで速やかにマイナンバーを処理し、特定個人情報流出のリスクを完全に遠ざけてください。

マイナンバーの適切な廃棄方法＜アナログの場合＞

• 書類などの廃棄は、シュレッダーまたは焼却処理などの復元不可能な手段を採用する
• 運送会社の溶解処理サービスなど、外部に廃棄を委託する場合は、委託先が確実に廃棄したことを確認するため、証明書を必ず受け取る

マイナンバーの適切な廃棄方法＜デジタルの場合＞

• 記録機器や電子媒体などの廃棄は、専用のソフトウェアもしくは物理的な破壊により、復元不可能な状態に消去する
• 個人情報ファイル内のマイナンバーを消去する場合は、容易に復元できない手段を採用する
• ハードディスクを物理的に破壊してもらうサービスを外部に委託する場合も、廃棄証明書を受け取る

組織にとって最適なマイナンバー管理に向けて

企業に求められているマイナンバー管理体制とは、「保管」と「廃棄」のプロセスを効率的につなぎ、それを着実に遂行することで、特定個人情報漏えいのリスクを完全に回避することにあります。その手法がアナログであれデジタルであれ、従業員から委託された特定個人情報を適正に扱い、安全に行政手続きに活かすことができて、初めて企業はマイナンバーを有効に活用したことになります。

みなさまの組織にとって最適なマイナンバー管理体制を構築し、誰もが安心して働くことのできる職場づくりを目指してください。

この記事のライター

佐賀井 大樹（さがい だいき）

株式会社ジャストクリエイティブ代表取締役。
BtoBデジタルマーケティング領域を中心にコンテンツ企画・制作を手がけるコピーライター、コンテンツディレクター。IT分野の実績多数。