マイナンバー対応について~セキュリティの観点から~ 第3回 マイナンバーを記載する帳票と業務について
第1回、第2回では、マイナンバー制度の概要をお伝えしました。
それでは、マイナンバーは企業内で具体的にどのように取り扱われるのでしょうか?その時にどのようなセキュリティ対策が必要になるのでしょうか?第3回ではサンプルケースをもとにマイナンバーの取り扱いとセキュリティ対策の例をご説明します。
1. マイナンバーを記載する帳票とは?
マイナンバーを記載し、行政機関へ提出する必要のある帳票は規定されており、既にその様式のイメージ案が公開されています。
マイナンバーを記載する必要がある様式の例
- 「給与所得の源泉徴収票」
- 「退職所得の源泉徴収票」
- 「公的年金等の源泉徴収票」
- 「給与所得者の扶養控除等(異動)申告書」
- 「給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書」
- 「公的年金等の受給者の扶養親族等申告書」
- 「雇用保険被保険者資格取得届」
- 「報酬、料金、契約金及び賞金の支払調書」
- 「利子等の支払調書」
- 「配当、剰余金の分配及び基金利息の支払調書」
- 「非課税口座年間取引報告書」
参考(2015年7月1日現在):
http://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000063273.html
http://www.nta.go.jp/mynumberinfo/jizenjyoho/index.htm
2. 社会保障分野の例:「雇用保険被保険者資格取得届」
それでは入社時に使用される「雇用保険被保険者資格取得届」を例に、マイナンバーの流れを見ていきましょう。
雇用保険被保険者資格取得届は、事業者が労働者を雇用する際に、雇用保険に加入させるため、所管の公共職業安定所(ハローワーク)に届け出る様式です。
マイナンバー利用が始まる2016年1月以降に新たに労働者を雇用する場合は、本人のマイナンバーを通知してもらい、雇用保険被保険者資格取得届に記載する必要があります。
流れとしては、まず社内の個人番号関係事務実施者が、利用目的を本人に通知、合意してもらい、本人からマイナンバーカードなどの提示を受けるとともに、雇用保険被保険者資格取得届に記入するマイナンバーの提供を受けます。
雇用保険被保険者資格取得届は、すぐに公共職業安定所へ提出するか、後日提出する場合は、キャビネットなどに施錠保管しておきます。提出の際には事務取扱担当者が開錠して取り出して、紛失や盗難に留意して提出に行きます。
もし、雇用保険被保険者資格取得届のコピーを社内で保持する場合は、取得したコピーをキャビネットなどに施錠保管しておく必要があります。 また、企業によっては、長期的な雇用関係を前提に、マイナンバーを電子ファイルで継続的に管理するケースも出てくるでしょう。その場合、マイナンバーデータベースのセキュリティ対策として、アクセス制御や暗号化等の安全管理措置も必要となってきます。
3. 税分野の例:「給与所得者の扶養控除等(異動)申告書」
次に「給与所得者の扶養控除等(異動)申告書」を例に、マイナンバーの流れを見ていきましょう。
給与所得者の扶養控除等(異動)申告書は、配偶者控除や扶養控除、障害者控除などの控除を受けるために、税務署長及び市区町村長へ提出する様式です。
マイナンバー利用が始まる2016年分の給与については、一般的に2016年の10~12月頃に給与所得者の扶養控除等(異動)申告書にマイナンバーを記載することになります。
具体的なマイナンバーの収集方法は、上記「雇用保険被保険者資格取得届」の場合とほぼ同じですが、いくつかの異なる点があります。
従業員の扶養親族(控除対象者)のマイナンバーは、基本的に従業員本人が個人番号関係事務実施者として会社に提出します。
給与所得者の扶養控除等(異動)申告書の法定保存期間は7年のため、7年を超過したら廃棄する必要があります。
また、給与所得者の扶養控除等(異動)申告書の準備や提出などの業務を外部事業者に委託する場合は、監督義務が生じます。さらに、委託先が再委託先となる外部事業者を使用する際には、事前に再委託の許諾が必要です。
4. 事業者における対応負荷
マイナンバーを記載する帳票や業務が多い事業者ほど、マイナンバー制度への対応負荷は大きくなります。そのため、顧客などの従業員以外のマイナンバーを業務として取り扱う金融機関や健康保険組合などは、対応負荷が最も大きいと考えられます。同様に、金融機関などからマイナンバーを取り扱う業務を受託する事業者も、対応負荷が大きくなると考えられます
一方、社内従業員のマイナンバーのみを取り扱う中小規模事業者は、比較的対応負荷が小さいと考えられます。
これらの中間に位置する一般的な事業者においては、個人事業主への報酬などの支払いが多い場合に、負荷が大きくなると見込まれます。
まとめ
既に個人情報取扱事業者(過去6カ月のいずれかの日において5,000件超の個人情報を取り扱う事業者)として個人情報を取り扱っている企業にとって、従来の個人情報保護対策(以下、安全管理措置)を適切に活用すれば、それほど新規性の高い業務はありません。
これまでと大きく異なるのは、「本人確認の確実な実施」と考えられます。また、番号法は個人情報保護法よりも罰則が重いため、従来の安全管理措置の「実効性の向上」が重要テーマになると考えられます。
なお、個人情報取扱事業者ではない事業者にとっては、番号法によって新たに安全管理措置を整備・運用する必要があります。(中小規模事業者については、マイナンバーガイドラインに特例的な対応方法が示されています。)また、2015年6月現在審議中の改正個人情報保護法案では、個人情報取扱事業者の範囲を、個人情報を取り扱うすべての事業者に拡大する方向にありますので、注意が必要です。
Writer Profile
セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治、戸田 勝之
Tweet