管理部門・バックオフィスのお役立ち情報メディア

【企業向け】マイナンバーを安全に管理するためのガイドライン

お気に入りに追加
お気に入りに追加
会員の方のみご利用になれます。
お気に入りに追加した記事は、
マイページに一覧で保存できます。
【企業向け】マイナンバーを安全に管理するためのガイドライン

マイナンバーは、国民一人ひとりに割り振られる12桁の個人番号です。この番号は、行政手続きを効率化し、個人情報を一元管理するために導入されました。

企業は様々な法的手続きにおいて、マイナンバーを活用する機会があります。また、従業員のマイナンバー情報を収集することは企業の義務です。

もしマイナンバーの提出がなかった場合には、義務違反をしていないことを証明する必要があります。

そのため、全ての従業員にマイナンバーを提出してもらうためには、取扱い方法や管理をしっかりと説明して納得してもらいましょう。

本記事では、企業がマイナンバーを取扱う際の具体的なガイドライン、法令に準拠した運用を行うための具体的な方法と推奨される対策について解説します。

【企業向け】マイナンバーを利用する手続きの種類

ここでは、企業がマイナンバーを使って実施する、代表的な手続きをいくつか紹介します。

健康保険や厚生年金に関する手続き

健康保険や厚生年金の手続きを行う際には、マイナンバーが必要となります。これは、個人の識別を正確に行い、効率的に社会保障を提供するためです。

たとえば、新規雇用者の健康保険や厚生年金への加入手続きを行う場合に、マイナンバーが必要になります。企業は新規雇用者のマイナンバーを速やかに収集することで、関連する手続きが円滑に進めることが可能です。

源泉徴収票の作成

企業が従業員の源泉徴収票を作成する際にも、マイナンバーの記載が求められます。強制はできないため、源泉徴収を作成する際に提出を拒否された旨の記録が必要です。

雇用保険に関する手続き

雇用保険に関する手続きにも、マイナンバーが使用されます。

例えば、雇用保険被保険者資格取得届や雇用保険被保険者離職証明書などにはマイナンバーを記載する欄があります。これらの手続きは、従業員の雇用保険に関する権利や義務を正確に管理するために重要であり、マイナンバーを正しく記載が必要です。

企業のマイナンバーの取扱い方法

企業には、マイナンバーを適切に管理する責任があります。適切な管理を行わないと、法律的なトラブルや企業の信用低下につながるため注意が必要です。

マイナンバーの取得

従業員が入社する際の雇用契約のタイミングで、雇用形態に関係なくマイナンバーを収集します。その際、従業員に対し利用目的を明確に伝えることが必要です。これは、法律で定められています

もし従業員がマイナンバーカードを持っていない場合でも、マイナンバー通知カードや、マイナンバーが記載された住民票によって確認が可能です。

マイナンバーの利用

企業がマイナンバーを利用するタイミングは、社会保障や税金の手続きです。

たとえば、社員IDの代わりとして、マイナンバーのIDをそのまま利用することは認められていません。不適切な利用は法律違反とみなされ、罰則が科される可能性があります。

また、マイナンバーを何らかの手続きで利用した場合には、その利用記録を必ず記して、管理する必要があります。これは、後でトラブルが発生した場合に迅速かつ適切に対応するためです。

マイナンバーの保管・管理

マイナンバーの保管時には、マイナンバーの利用範囲やマイナンバーを取り扱う担当者などを明文化しましょう。これにより、誰がどのような目的でマイナンバーを使用するのかが明確になり、本来の目的とは異なる利用を防げます。

併せて、取得したマイナンバーは、厳重なセキュリティ対策の下で保管が必要です。

たとえば、パスワードによるアクセス制御や暗号化を施し、定期的なセキュリティチェックを行うことが重要です。保管方法が不適切だと、情報漏えいのリスクはより高くなります。

マイナンバーの破棄

従業員の退職などによって利用しなくなったマイナンバーは、できる限り速やかに廃棄・削除をの対応が必要です。不要な情報を放置すると、情報漏えいや不正利用のリスクが残ります。

マイナンバーが記載された書類はシュレッダーで復元不可能な状態で破棄し、電子データとして保存されている場合は、データ消去ソフトなどを使用して完全に消去します。

また、マイナンバー情報を廃棄した際は、その消去を行ったことの記録が求められます。

企業がマイナンバーを安全に管理する方法

情報の漏えいや不正利用を防ぐためには、マイナンバーの適切な管理方法が求められます。企業がマイナンバーを安全に管理するための具体的な方法は次の通りです。

物理的な保管場所の選定

物理的な保管場所の選定は、マイナンバーの安全管理の基本です。

マイナンバーに関する書類を盗難から守るために、安全な場所に保管する必要があります。適切な保管場所を選ぶことで、物理的な脅威からデータを守れます。

書類を保管する際には、専用のロック付きキャビネットに保管し、アクセスできる者を限定するといった対策が挙げられるでしょう。その場合、管理者が目の届く範囲に保管場所を設けるようにしましょう。

デジタルデータでのセキュリティ強化

マイナンバーのデジタルデータは、サイバー攻撃やデータ漏えいのリスクから守るために、高いセキュリティ対策を講じて管理する必要です。

そのため、企業は以下のような対策を強化することが求められるでしょう。

まず、データの暗号化を導入しましょう。これにより、万一データが外部に流出してしまった場合でも、情報が悪用されづらくなります。

また、不正アクセスを防止するために、ファイアウォールを設置することも重要です。ファイアウォールは外部からの不正アクセスをシャットアウトする役割を果たします。

さらに、定期的なセキュリティパッチの適用も欠かせません。

ソフトウェアには常に脆弱性が存在するため、その脆弱性を突いた攻撃を防ぐためにも、最新のセキュリティパッチを適用してシステムを最新の状態に保つことが大切です。

情報アクセス制御の整備

不特定多数の人がマイナンバーにアクセスできる環境では、情報漏えいのリスクが高まります。アクセス制限を設けることで、データ保護の強化が期待できるでしょう。

たとえば、アクセス権限を最低限必要な範囲に制限することで、重要なデータには特定の適任者だけがアクセスできるようにします。

さらに、アクセスログを取得して定期的に監視することで、誰がいつどの情報にアクセスしたかを常に把握することが可能です。

マイナンバーを管理する企業が実施すべき安全管理措置

マイナンバーは非常に機密性の高い個人情報であり、企業がそれを適切に管理するためには厳格な安全管理措置が必要です。

マイナンバー法では、マイナンバーの漏えい、滅失又は毀損の防止などのマイナンバーの適切な管理のために、必要かつ適切な安全管理措置を講じなければならない、と定められています。

この見出しでは、企業が取るべき安全管理措置について説明します。

基本方針の策定

自社で行うマイナンバー管理に関する基本方針を策定します。基本方針の策定は義務ではありませんが、重要な個人情報を扱う上では行っておくことが理想的です。

基本方針がないと、各従業員が統一された基準でマイナンバーを取り扱うことが難しくなり、管理の一貫性が失われるからです。基本方針を明確にしておくことで、社内全体で一貫したマイナンバー管理が実現し、情報漏えいリスクを最低限に抑えられます。


基本方針の例として、自社で管理するマイナンバーのガイドラインや、マイナンバーに関する質問や苦情処理の窓口の決定などがあります。

たとえば、ガイドラインには、マイナンバーの取得方法から利用、保管、廃棄までのプロセスを詳しく記載し、各段階での注意点を明示します。また、質問や苦情処理の窓口を決定することで、問題が発生した際に迅速かつ適切に対応する体制を整えられます。

取扱規程等の策定

自社で守るべきマイナンバーの取扱規程を整備しましょう。従業員のマイナンバー情報が不正に利用されたり、それが原因で従業員が被害に遭ったりしないためです。

取扱規程の例としては、まずマイナンバー管理の組織体制が挙げられます。具体的には、どの部署が担当し、どのように情報を管理するかを明確に定める必要があります。また、マイナンバーに関する安全管理の担当者ならびにその担当者を監督する者を指定し、その責任範囲を明示しておくことが重要です。

組織的安全管理措置

組織的安全管理措置とは、企業全体でマイナンバーを安全に取り扱うための整備とその運用を指します。

最初に、組織全体のセキュリティポリシーを制定し、これを全従業員に教育することが重要です。このポリシーには、マイナンバーの取り扱いに関する具体的な規定やルールを明記し、従業員が理解し守ることで、情報の安全性を確保できます。

次に、安全に管理できる組織体制の整備が必要です。

たとえば、マイナンバーの取り扱いを担当する部門を明確にし、それぞれの担当者に適切な権限と責任を与えることが挙げられます。

さらに、情報取り扱いの定期的な検査も不可欠です。検査を通して適切に管理されているかを確認することで、安全に管理する体制を維持できるでしょう。

人的安全管理措置

人的安全管理措置は、マイナンバーを取り扱う業務を行う従業員に対して適切な監督や指導・教育を行うことを指します。

具体的な例としては、定期的なセキュリティ講習の実施があります。従業員に対して情報セキュリティの基本やマイナンバー管理の重要性を定期的に教育することで、意識を高められます。

セキュリティ講習は、年に数回行うことが推奨されます。新入社員や異動者に対しては、入社時や配置転換時に研修を実施するようにしましょう。

また、管理責任者自身も十分な知識と経験を持ち、教育や指導のスキルを高めるための研修を受けることが求められます。組織全体での人的安全管理措置を強化していくことが、マイナンバーの適切な管理には不可欠です。

物理的安全管理措置

物理的安全管理措置とは、マイナンバーを取り扱うシステムや媒体からの情報漏えいを防ぐための具体的な対策を意味します。

これには、以下のような方法があります。

まず、マイナンバーが記載された書類にはシールでマスキングする対策があります。これにより、書類が誤って他人の目に触れるリスクを減らすことができます。加えて、デスクの上やパソコンの画面を背後から見られにくい配置にすることも重要な対策です。オープンオフィスでは特にこの点に注意が必要です。

また、マイナンバーが記載された書類は施錠できるキャビネットで保管するようにします。さらに、人目につきづらい場所やアクセスが制限されているエリアに配置することで、より安全性を高めることができます。

技術的安全管理措置

技術的安全管理措置は、マイナンバーを含む情報をパソコンやサーバー上で管理する際に、そのセキュリティを確保するための重要な対策です。これには、担当者以外の従業員や外部の不正アクセスから情報を守るための安全管理が含まれます。

例えば、マイナンバーを格納するファイルやフォルダを暗号化することで、不正にアクセスされた場合でもその情報が容易に解読されるのを防ぎます。暗号化は、データを一定のアルゴリズムに基づいて変換し、復元には特定の鍵が必要となるため、データ盗難時のリスクを大幅に軽減します。

さらに、アクセス権限の設定も重要です。マイナンバーにアクセスできるのは、特定の担当者や必要最小限の職務を持つ従業員に限定することで、内部からの情報漏えいを防ぐことができます。

他にも、ログイン時の二段階認証やパスワードの定期的な変更、そして不正アクセスの検知システムの導入など、多層的な対策を講じることで、より確実にマイナンバーを保護できます。

マイナンバーの漏えいや紛失が起きたときの対応

企業においてマイナンバーの漏えいや紛失が発生した場合、迅速かつ的確な対応が求められます。この見出しでは、マイナンバーの漏えいや紛失が起きた際に実施すべき具体的な対応について解説します。

漏えいの報告・公表

マイナンバーの漏えいが発覚した場合、企業は迅速に報告と公表を行う義務があります。情報漏えいは企業の信頼性に大きな影響を与えるからです。

漏えいの報告や公表は初動の速さが極めて重要です。初動が遅れることで被害が拡大し、影響がさらに深刻化する可能性があります。

そのため、企業は漏えいが判明した時点で直ちに適切な報告と公表を行い、信頼性の維持と被害の最小化に努める必要があります。

漏えいした原因の調査

マイナンバーの漏えいが発生した場合、迅速にその原因を調査することが極めて重要です。漏えいの原因を特定し、再発防止策を講じることで、同様のインシデントの発生を防げます。

マイナンバーを管理する端末やシステムにアクセスログを搭載していると、原因の調査がしやすいです。万が一漏えいが発生した際は、ログの分析で迅速に原因を特定できます。

影響範囲の特定

マイナンバーの漏えいが確認された場合、迅速に影響範囲を特定しましょう。影響範囲を明確にしないまま放置すると、被害者の数が増え、企業の信用を損なうリスクも高まります。

したがって、影響範囲の特定は迅速なトラブルシューティングと企業の信頼保持につながる重要なステップです。

影響を受ける可能性がある本人への連絡

マイナンバーが漏えいした場合、影響を受ける可能性がある本人へ迅速に連絡します。情報漏えいが発生すると、本人にかかるリスクが増加し、詐欺や不正利用の危険が高まるためです。早急に通知することで、本人が速やかに対策を講じる時間を確保し、二次被害の発生を防ぎやすくなります。

企業は信頼を回復するために、丁寧な対応が求められます。この対応が遅れると、企業の信頼性が大きく損なわれ、取り返しのつかない事態に陥る可能性があります。

さらに、状況によっては、従業員に対してマイナンバーカードの変更や利用停止を指示する必要があります。

個人情報保護委員会への報告

マイナンバーの漏えいが確認された場合、その影響が重大であると予想されるときは、迅速かつ適切な対応が求められます。個人情報保護委員会への報告が必要とされるケースがあるため、企業としてこの手続きを理解しておくことが重要です。

民間事業者が取り扱う情報の中で「要配慮個人情報が含まれる個人データの漏えい等」が発覚した際は、個人情報保護委員会への報告が義務付けられています。

マイナンバーは特に機密性が高い情報であり、漏えいした際の影響も大きいことから、より適切な対応が求められます。

報告手続きは、まず個人情報保護委員会のWebサイトから行えます。サイトに報告フォームが設けられているので、必要事項を記入します。

企業が行うマイナンバー管理の委託

リソースが限られている中で、全ての企業が自社内でマイナンバーの完璧な管理体制を整えるのは難しい場合もあります。この見出しではマイナンバー管理が委託できるのかについて解説します。

マイナンバーの管理は委託できるのか

自社での管理が困難な場合や管理にかけるリソースが不足している際には、マイナンバーの管理業務を専門の外部業者に委託することも可能です。

専門業者に委託することで、効率的かつ安全な管理が可能となり、特に小規模な企業や専任の管理担当者がいない場合には大きな助けとなります。社内での管理にかかる手間やコストを考慮すると、専門業者への委託は非常に理にかなった選択肢と言えるでしょう。

マイナンバー管理を委託する際に遵守すること

マイナンバー管理の委託は可能ですが、委託先への監督責任が生じます。

委託先への監督責任は、マイナンバー法で定められています。安全管理措置に基づきマイナンバー管理が行える業者を委託先に選びましょう。

安全管理措置を遵守する内容を盛り込んだ契約書を締結し、定期的に委託先の実地調査を行う必要があります。

マイナンバーを安全に管理できる体制を整えよう

この記事では、企業がマイナンバーを安全に管理するための具体的な手法とガイドラインについて説明しました。マイナンバーの取得、利用、保管、破棄の各段階での注意点を詳述し、各安全管理措置についても触れました。

この記事を参考に適切な管理措置を導入し、企業全体で安全な運用を徹底しましょう。
今後も、法令やガイドラインの改定に注視し、継続的な見直しとアップデートを行うことをおすすめします。

さらに、定期的な研修や内部監査を実施し、セキュリティ意識を高めることに努めましょう。
 

お気に入りに追加
お気に入りに追加
会員の方のみご利用になれます。
お気に入りに追加した記事は、
マイページに一覧で保存できます。
この記事をシェア
BackOfficeDB編集部
この記事の執筆者
BackOfficeDB編集部
こんにちは。BackOfficeDB編集部です。 私たちは、管理部門に関する情報発信を専門にしています。 業務効率化や、各職種のキャリアプラン、スキルアップなど、管理部門の様々なお悩みにお答えします。