マイナンバー施行後の運用課題と情報漏洩リスクに対する対策

マイナンバー法が施行され、企業は所属している社員やその家族についてもマイナンバーを収集し、管理しなければならなくなりました。こうしたマイナンバーの導入時に多くの企業が課題だと感じているのが「情報漏洩のリスクをいかになくせるか」という点です。
そこで今回は、企業がマイナンバーを扱うときに重要となる「取得」「保管」「破棄」の3つのタイミングごとに、課題や情報漏洩の危険性について考えます。
 

マイナンバー情報の取得時における課題

マイナンバー情報を収集する対象となるのは正社員だけでなく、契約社員やアルバイト・パート社員、さらに業務委託や顧問契約を結んでいる外注先にも及びますが、取得時にはどういった課題があるのでしょうか。
主だった課題について紹介します。
収集時に手間がかかる
マイナンバーがその従業員の真正の番号であることを確認するために、従業員本人からマイナンバーカードなどを提示してもらうことで身元確認を行うことが義務づけられています。
具体的には以下の書類が必要です。
・マイナンバーカード
・マイナンバーの通知カードと運転免許証などの本人確認書類
・マイナンバーが記載されている住民票などの書類と運転免許証などの本人確認書類
このように、本人確認書類を併せて提示してもらうことで、マイナンバーカードを発行していない従業員などにも対応しています。
対面で確認するときには提示で問題ありませんが、従業員などが遠方にいて郵送での本人確認を行う時には、これらの書類の控えを提出してもらい、保管しておかなければなりません。
実務上で生じる課題
マイナンバーの収集手段としては、紙による収集が主な手段となっており、マイナンバー申請書という書類を作成し、社員に記載してもらった紙を収集、回収した書類を担当者が端末に転記するという方法が主な収集手段です。
メールやクラウドサービスなどの利用も選択肢にはあるものの、回収方法を統一するという観点では導入が難しいところもあります。
どのような方法で回収するにせよ、担当者は定期的に収集結果をチェックし、未提出の社員には提出を催促するなどの手間が発生します。また、担当者のいる事業所に出向いて提出することができない社員もおり、郵送で提出するケースもあるでしょう。
郵送の場合、普通郵便ではなく簡易書留にすると安心ですが、コストが余計にかかってしまいます。
さらに「FAXで提出したい」などのイレギュラーな要求がくるケースも考えられます。しかしFAXの場合、担当者のデスクに放置するのと同様に、その場にいる全ての人の目に触れる可能性があります。例え本人が申し出てきたとしても、FAXでのマイナンバー情報の受け取りは許可するべきではないため、従業員に対して他の方法を提示する、FAXで送付することの危険性を説明して理解してもらうなどの対策が必要となります。
このように、収集時における担当者の手間や会社のコストは今後も課題となりそうです。
収集時の漏洩リスク
マイナンバーの収集時に大きな課題となる情報漏洩の危険性について、起こりやすいトラブルをまとめました。
・紙媒体で回収する場合、社員が担当者に手渡そうとしたが離席していたため、担当者の机の上に書類を置いた
・業務委託先や支社など、マイナンバーを管理する部署と物理的に離れた場所に担当者が出向いてマイナンバー情報を収集し、その際に書類を置き忘れた
・マイナンバー情報を預かったまま電車やバスなどで移動し、そこで書類を置き忘れた
こうした事態を防ぐための対策として、以下のようなことが考えられます。
・社員に提出時のルールを徹底する
・離れた場所にいる社員などからの情報収集は郵送で行う
・セキュリティが確保されたクラウドサービスなどを利用する
社員に対する説明に関する課題
マイナンバーを収集する際には、どのような手順で収集するか、収集する際にどのような説明を行うかなどのルールが厳格に決められています。
まず、「マイナンバーを何のために収集するのか」「どのようなことに使うのか」という目的と使用範囲については、通知するか公表しなければなりません。
社員によっては、「ちゃんと保管されているのか」「退職したら破棄してもらえるのか」「漏洩のリスクはないか」について説明を求めてくることが考えられます。社員に対する説明が不十分で社員が不安を抱くことのないよう、説明するべきところや良くある質問などをまとめて周知することもポイントです。
社員がマイナンバー情報の提供を拒否した場合の対応
内閣府の2018年の調査によれば、マイナンバーカードを取得しないと回答した人の割合は全体の53％以上となっていました。さらに、取得を望まない理由として「個人情報の漏洩が心配だから」と回答した人の割合は26．9％と、3番目に多い結果でした。
社内においても、マイナンバーの情報漏洩リスクについて不安に感じている社員が情報の提供を拒否する可能性もあります。
現時点では、マイナンバーの情報提供は義務とまではいえないため、社員から情報提供がなかったからといって、社員や企業に対して何らかの罰則があるわけではありません。
また、現時点では国税庁やハローワークでの手続きの際に、マイナンバーの記載がなくても受理される運用となっているため、厳密に言えば社員が情報提供しないからといって大きな問題になるわけではありません。
ただ、マイナンバー情報を記載せずに企業が源泉徴収票や保険関係の書類などを作成した場合、税務署などの管轄官庁から、マイナンバー情報が書類に書かれていない理由について問い合わせがくる可能性があります。
そのため、会社としては「情報の提供を求めたものの、それに応じてもらえなかった」という経緯について記録・保管しておく必要があります。
マイナンバー情報の提供拒否を懲戒の対象にできるのか
マイナンバーの提出を社員が拒否しないよう、マイナンバー情報の提出義務を就業規則や服務規律に明記して、提出しない社員に何らかの懲戒を与えることはできるのでしょうか？
どのような行為に対して懲戒の対象とするかについて、労働基準法では明確に定義されていません。しかし、社会通念上相当である・合理的な理由があることは求められます。そのため、現時点でさほど不利益が大きくないといえるマイナンバー情報の不提供を懲戒の対象にすることは、社会通念上相当とはいえない可能性が高いといえるでしょう。
 

マイナンバー情報の保管時の課題

マイナンバーを収集したら、情報が漏洩しないように保管しなければなりません。保管時の課題はどこにあるのでしょうか。
保管環境の整備が課題となる
マイナンバー情報は、紙による保管のほか、データ化した情報を保管している企業もあります。
紙による保管の場合、鍵付きキャビネットを設置する、管理するパソコンを個室において隔離するなどの環境の整備が求められます。またデータ化した情報をパソコンなどで保存する場合は、外部から不正アクセスされることを防ぐためのアクセス制御や、アクセス者の識別と認証などの措置が必要です。
しかし、特に中小企業や小規模な事業所の場合は、そもそも設備がないことも多いため、マイナンバー情報を保管するための設備投資が必要になることがあります。現時点で環境が整っているとしても、オフィス移転やオフィス内での部署移動において環境の整備にコストがかかることも課題といえます。
保管している間に情報を間違えてしまう可能性がある
マイナンバーの情報を扱うのは情報収集時だけではありません。例えば、エクセルなどでマイナンバー情報を管理している場合、社員の入退社のタイミングでエクセル表に情報を追加・削除することがあります。
こうしたときに、マイナンバーを入力しているセルと社員情報を入力しているセルがずれてしまい、全く違う社員にマイナンバーが割り当てられてしまうなどのミスが考えられます。マイナンバー情報を更新する際にはかならずバックアップを取り、できれば定期的にデータが間違っていないかをチェックする体制があると安心です。
保管時の漏洩リスク
マイナンバー保管時に起こりうる情報漏洩リスクとしては、以下のようなケースが考えられます。
・キャビネットなどに保管していたマイナンバー情報の書類を整理しようとして、他の書類と一緒にキャビネットの外に放置してしまい、誰でも見られる状態に置いてしまう
・マイナンバー情報の管理を外部に委託していたところ、知らない間に委託先が再委託しており、そこから情報が漏れてしまう
・マイナンバー情報を保管しているキャビネットの鍵について鍵管理台帳の記載が徹底しておらず、担当者以外の社員が鍵を持ち出しても分からない状態になっている
保管時に情報が漏洩してしまうと、重い罰則を受けることもあります。あらかじめ情報が漏洩するリスクを洗い出し、早い段階で対策を取っておくことがポイントとなります。また、マイナンバー情報の管理を外部委託する際には、委託先のセキュリティ体制を確認するとともに、ガイドラインに沿った委託になるようガイドラインも併せて理解しておくことが重要です。
 

マイナンバー情報の破棄時の課題

マイナンバー情報は、必要がなくなった時点で破棄、または削除することが法律で義務づけられています。破棄するときの課題としては、保管期限が守られていない、じつは破棄や削除がされていなかったということが考えられます。
保管期限を越えて保管しない
社員から収集したマイナンバー情報は、保管期限が決められています。マイナンバーは特定個人情報にあたりますが、特定個人情報は「番号法で限定的に明記された事務を行う必要がある場合」は限定的に保管し続けることが認められている一方で、必要がなくなれば破棄しなければなりません。
例えば、源泉徴収票は7年、給与所得の扶養控除申請書は7年、健康保険や厚生年金の被保険者資格取得届は2年など、保管期限には決まりがあります。保管期間を超えて保管したままにしてしまうと、情報が漏洩するリスクが考えられます。
書類の電子化が進んでいるとはいえ、書類の破棄に抵抗がある企業も多いもの。よく履歴書などで見られるケースですが、過去に面接して採用に至らなかった人の履歴書まで保管し続けている企業もあります。
マイナンバー情報は、必要がなくなったら速やかに破棄・削除を行うよう、法律で義務づけられています。不必要に個人情報を保管していると情報漏洩のリスクも高まるため、マイナンバーの保管期限を明確にし、不要になったら破棄するというルールを社内に徹底しておくことも重要です。
破棄・削除時に注意しておきたいこと
マイナンバー情報を破棄または削除するときには、自社で削除や破棄をする場合であっても外部に委託する場合であっても、確実に削除または破棄をしたことを証明するための記録を残しておかなければなりません。削除をするときになって慌てることのないよう、あらかじめ破棄・削除したことを記載するための管理表などを作成しておくといいでしょう。
確実に破棄・削除することが必要
社内でマイナンバー情報を物理的に破棄するときにはシュレッダーにかける方法が一般的です。CD-ROMなどでは問題になりませんが、紙の場合はシュレッダーのレベルによっては情報を復元することが可能になるので注意が必要です。
そこで、マイナンバー情報を破棄するときには、復元できないレベルのシュレッダーを用意しなければなりません。もし社内にこのレベルのシュレッダーがなければ、新たに購入する必要があります。
また、マイナンバー情報の削除や破棄を外部に委託するときには、委託先が確実に破棄・削除したかどうかを証明書などを発行・受領するなどの方法で確認しなければなりません。自社での管理が適切であったとしても委託先での取扱いに問題が残るリスクはあるため、企業には「最終的に破棄または削除されたかどうか」まで責任を持つ意識が求められます。
情報漏洩のリスク
マイナンバー情報を破棄するときにも、情報漏洩のリスクがあります。具体例と対策例を紹介します。
①自社で破棄するときのリスク
・シュレッダーのレベルが低く、情報が復元できる・情報を読み取ることができる
・破棄するときのルールが徹底されておらず、他の書類と一緒にゴミ袋に入れてしまう
・破棄または削除した記録を残していない

②破棄を業者に依頼するときのリスク
・業者が取りに来たときに渡しやすいよう、鍵付きのキャビネットから出して外に放置し、誰でも情報を見られる状態にしてしまう
・業者がマイナンバー情報を見られる状態で書類を業者に渡してしまい、漏洩のリスクが生じる
・業者が確実に破棄・削除したかどうかを確認していない
・業者が許可なく破棄・削除作業を再委託していた
 

社員以外のマイナンバー情報の取扱いが今後課題となる

マイナンバー法の施行から時間が経ったことで、多くの企業では社員のマイナンバー管理についてはある程度整備が進んでいるといえます。そこで今後課題となるのは、社員のマイナンバー情報の管理に加え、顧問税理士や外注などの社外の人のマイナンバー管理です。
基本的に、社員のマイナンバー情報と管理体制や破棄のルールは変わりません。では、社員以外の人からマイナンバー情報を収集するときの課題はどこにあるのでしょうか。
提供を拒否される可能性が高い
外注先に報酬を支払う場合、企業は支払調書を作成しなければなりません。そのときに顧問先や外注先のマイナンバー情報が必要になるため、マイナンバー情報を収集し、保管することになります。
ただ、こうした社外の人についてはスポットでの契約も多く、一時的な手続きのために個人情報を提供することに抵抗を感じる人も多いものです。そこで、雇用されている社員に比べてマイナンバー情報の提供を拒否される可能性が高いところが課題です。
現時点では、支払調書などにマイナンバー情報が記載されていなくても税務署は書類を受理してくれる運用になっているため大きな問題はありませんが、スムーズな提供を促すためにも、以下の点は留意しておいた方が良いでしょう。
・マイナンバー情報収集の目的と利用範囲、破棄するタイミングなどの情報を開示し、適切に管理することを伝える
・郵送してもらう際には簡易書留などの方法を使うように案内する
・外部委託する場合は、委託先についても明記する
加えて、マイナンバー情報を収集するときには、収集に協力してもらえない場合は何らかの不利益が生じたとしても責任を負わない、などの注意も伝えておくと良いでしょう。
 

まとめ

今回は、社員や外部委託先からのマイナンバー情報の提供に関する課題について紹介しました。マイナンバー情報を企業が取り扱うとき、最も重要なのが「情報漏洩のリスクを最大限に減らす」ことです。環境整備にコストがかかるなどの課題もありますが、適切な管理は企業の評価を上げることにも繋がります。