コラム「マイナンバー導入における企業の実務対応」
第3回 マイナンバーの適正な取扱い

2015年2月18日公開

富士通総研 経済研究所 主席研究員
榎並利博

マイナンバー制度は、プライバシー問題と深く関わる情報を取扱うため、行政機関だけでなく、民間企業にも特定個人情報（マイナンバーを含む個人情報）の適正な取扱いが求められている。ここでは民間企業における一般的な注意事項を中心に整理する。

まず、社会保障・税の手続きのために社員のマイナンバーを管理・使用することは認められているが、それ以外の目的でマイナンバーを使うことはできない。例えば、マイナンバーを社員番号として使ったり、マイナンバーを使って社員の営業成績を管理したりすることは違法となる。例え本人の同意があったとしても、マイナンバー法に規定している以外の使い方は違法となることに注意が必要である。

次に、人事給与関係事務のアウトソーシングなど、個人番号関係事務の委託・受託については問題ないものの、制約条件が付くことに注意が必要である。受託者の場合、委託者の許諾を得ずに勝手に再委託することは禁止されており、委託者は受託者に対する監督責任を負う。特に、委託者は直接的な受託者に対する監督責任を負うことは当然のこと、再委託先や再々委託先に対しても間接的な監督責任を負うことに注意しなくてはならない。

そして不正行為を含む違反行為については、住基ネットよりも重い罰則が科せられている。違反行為をした者が罰せられるのは当然として、両罰規定でその法人も管理監督責任が問われることに注意が必要だ。ただし、マイナンバー法違反で逮捕が続出するなどという扇動的な発言に惑わされてはならない。実務上のミスで法令違反があったとしても、通常は特定個人情報保護委員会から指摘を受け、是正勧告される程度である。勧告に従って是正すれば問題はない。

マイナンバー法は個人情報保護法の特別法という位置づけだが、以下の点について個人情報保護法と異なることに注意が必要である。

• 死者のマイナンバーも保護の対象となること。
• 本人の同意があっても、マイナンバーは法律で規定された目的以外では使えないこと。
• 複数の法人による特定個人情報の共同利用は認められないこと。
• 個人情報保護法の対象とならなかった事業者（注）も含め、すべての事業者が特定個人情報の安全管理のために必要かつ適切な措置を講じるとともに、従業者に対する必要かつ適切な監督を行わなければならないこと。

  （注）保有する個人情報が5000件以下の事業者で、マイナンバー法では「個人情報取扱事業者でない個人番号取扱事業者」と定義される。

マイナンバーに関する実務においては、「取得」→「収集・保管」→「利用・提供」→「廃棄」というフェーズごとに取扱いの注意が必要となる。

「取得」においてはなりすまし防止のため厳格な本人確認が求められ、本人確認措置の原則として番号確認と身元確認が要求されることになる。本人からの取得、代理人からの取得、家族のマイナンバーの取得などの手続きや書類が細かく規定されており、それらに従って実務を運用していかなくてはならない。

「収集・保管」においては、どのような行為が収集とみなされるのか、どのような条件で保管が認められるのかについて確認しておく必要がある。所管法令により一定期間保存が義務付けられているものはその期間保管しなくてはならないほか、個人番号関係事務で使う目的での保管が認められているに過ぎない。

「利用・提供」においては、2つの言葉の概念の違いを理解しておく必要がある。グループ会社で人事情報を共同利用している場合、他社従業員のマイナンバーが参照できないなどの仕組みを備えていない限り、この形態は「提供」とみなされるため認められない。

最後の「廃棄」は新たに登場した考え方だ。保存期間を経過した場合、マイナンバーを速やかに廃棄または削除しなくてはならない。システム化している場合には、保存期間経過後に廃棄または削除できるようなシステムであることも要求される。