対応が遅れる中小企業

平成27年10月5日の時点でマイナンバー制度の準備を整えた中小企業の数はわずか6.6%(日本経済新聞調べ)でした。
対応が進んでいないことの理由として、「制度への理解が進んでいない」「なにから手をつけてよいのかわからない」が上位を占めています。
300人以上の企業の対応状況は26.9%で、従業員の少ない企業ほど対応が進んでいませんでした。
しかし、マイナンバー制度は国で決められた制度です。過渡期を過ぎればスタートアップも中小起業も厳しく対応を迫られる可能性も考えられます。
制度を理解することで金銭的にも時間的にも過分な事務コストを掛けずに対応することはできます。
経営者の視点でマイナンバー制度を見ていきましょう。

マイナンバー制度のおさらい

マイナンバーは「行政の効率化」「国民の利便性の向上」「公平・公正な社会の実現」を目的として制度化されました。
平成27年10月より、個人に対しては12桁の個人番号(マイナンバー)が、法人に対しては13桁の「法人番号」の通知が開始され、平成25年5月31日公布の「行政手続における特定の個人を識別するための番号の利用等に関する法律」の規定にもとづいて、平成28年1月以降に社会保障・税・災害対策の3分野において利用が開始されます。
そのため従業員を雇用している事業者はもれなく税や社会保障の手続で対応が必要となります。

マイナンバーは特定個人情報になります。そのため従業員の特定個人情報を扱う者としての責任を果たすことが求められます。対応の不備は意図のあるなしに関わらず違法行為になってしまうため万全の対応が必要です。

企業も業種や業態、規模等は様々ですが、以降は個人事業主やスタートアップ期の法人等、比較的小規模な事業者を念頭に置きつつ、マイナンバー制度への対応を考えてみます。

ガイドラインからマイナンバーを理解する

まず、法律で規定された保護措置やその解釈について特定個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の内容を理解して自社の対応が必要な範囲を知ることが効率的にマイナンバー制度に対応するための近道です。

ガイドラインの内容は個人番号・特定個人情報を大まかに4つのルールに分けて整理すると理解しやすくなります。以下ではその4つのルールについて説明させていただきます。

(1)利用・提供・収集

マイナンバーの利用範囲は、社会保障・税・災害対策に関する事務に限定されます。そのため従業員を雇用している企業であれば、社会保障及び税に関する手続書類の作成事務を処理する必要がある場合に限って、従業員にマイナンバーの提供(収集)を求めることができます。
マイナンバー収集の際には原則として「番号確認」と「身元確認」が必要です。誰がどのような手続きでマイナンバーを収集していくのか社内の体制を整備しておく必要があります。
このような従業員のマイナンバーの収集は法律で限定的に認めらていますが、本来はマイナンバーを含む特定個人情報は収集することができません。

ちなみに他人の個人番号をメモすること、プリントアウトすること、コピーを取ることは「収集」に当たりますが、ただ個人番号の提示を受けただけでは「収集」には当たりません
本人の申請にもとづき「個人番号カード」が交付されますが、この個人番号カードを従業員から身分証明書として提示を受けた場合には注意が必要です。
表面をコピーすることには問題ありませんが、裏面にはマイナンバーが記載されていますのでコピーすると法律で定められている社会保障及び税に関する手続書類の作成事務以外での収集になるため法律違反になってしまいます。

(2)保管・廃棄

特定個人情報は社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限り保管し続けることができます。
つまり、雇用が継続的に続いている場合には、従業員等から提供を受けた個人番号を給与の源泉徴収事務や健康保険・厚生年金保険届出事務のために翌年度以降も継続的に利用する必要があるので、特定個人情報を継続的に保管できると考えられます。
逆に、退職などでそれらの作成事務を処理する必要がなくなった場合は、関連する法令で定められている保存期間を経過した後に、速やかに個人番号を廃棄又は削除しなければなりません。

(3)委託

企業が税や年末調整にかかる業務を税理士事務所に依頼しているような場合が委託にあたります。
クラウドサービスを利用している場合にクラウドサービス業者が個人番号を含む電子データを取扱う場合も番号法上の委託に該当します。

委託者は、委託先に対しての監督の義務があります。
自らが果たすべき安全管理措置と同等の措置が講じられるように必要かつ適切な監督を行わなければなりません。

適切な監督というのは、(i)委託先の適切な選定(ii)委託先に安全管理措置を遵守させるために必要な契約の締結(iii)委託先における特定個人情報の取扱状況の把握のことを指します。

受託した税理士側も専門家として、個人番号を適正に取り扱う責務を負っていますので、税理士事務所と意見交換や協議することでお互いに手間とコストのかからない管理方法を見出していくことができるはずです。

(4)安全管理措置

マイナンバー・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理が求められます。
必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な安全監督も求められます。
ガイドラインでは以下の安全管理措置が求められています。

(ア)基本方針の策定

特定個人情報の保護に関する基本理念を明確にし、法令遵守・安全管理・問合せ・苦情相談等に関する方針を定めることが重要です。基本方針の策定は法的に義務付けられてはいませんが、従業員等への周知・研修など社内の啓蒙活動の際に便利に使えるため策定しておくと後々も役立ちます。

(イ)取扱規程等の策定

源泉徴収票や支払調書の作成等の事務で特定個人情報等を取扱う場合のマニュアルや事務フローなどの手順を示した文書です。全従業員が容易に参照できる状態にしておかなければなりません。

(ウ)組織的安全管理措置

特定個人情報の取扱担当者を明確にすること、組織の中でその担当者以外が特定個人情報等を取り扱うことがないような仕組みの構築をすることです。

(エ)人的安全管理措置

特定個人情報の取扱担当者に対する監督・教育をすることです。
担当者それぞれが自己の職責と特定個人情報を取り扱うことの重要性を自覚することが人的安全管理措置の基礎といえます。

(オ)物理的安全管理措置

特定個人情報等の漏えい・盗難等を防ぐための措置として、担当者以外が特定個人情報等を取り扱うことができないように物理的な防衛をすることです。
特定個人情報を取り扱う物理的に保護された部屋の確保やその部屋への入退室管理などのルール作成などがこれにあたります。

(カ)技術的安全管理措置

情報セキュリティーの徹底です。
取り扱いPCについてアクセス制御を行うことや、ウィルス対策ソフトウェア等を導入し、かつ常に最新の状態にアップデートしておくことなどがこれにあたります。

準備の進め方

以上を踏まえてまいナンバーの取得から廃棄までに必要な準備作業について、対処方針を検討しなければいけません。

人事・労務関係で考えると雇用保険関係では平成28年1月1日以降に「雇用保険被保険者資格取得届」や「雇用保険被保険者資格喪失届」等を提出するのにマイナンバーの記載が必要になります。
そうするとそのために順次マイナンバーを収集しなければなりません。従業員からマイナンバーの提供を求める場合には個人情報保護法に基づき「利用目的の明示」が必要となるため、書面を用意するのか、どのように明示するかについて今から検討が必要です。

いずれの企業においても大きく分けると

  • 社内規程の見直し
  • システム対応
  • 個人情報の安全管理措置
  • 社員研修・勉強会の実施

などの対応が考えられます。

特にシステム対応は時間がかかる可能性が考えられるため、スケジュール管理が重要になります。

このような制度対応においては、経営視点レベルでの問題点の洗い出しと解決を行う社内整備が重要です。
大手企業のように完璧に体制を構築しようというのではなく、自社のサービスと制度を理解した人が、外部専門家も交えて使えるリソースを上手に使って効率的な課題解決することが必要なのです。
例えば物理的安全管理措置を軽減するためにクラウドサービスを利用するなど、それぞれの得意分野の知恵がなければ思いつかないような対応策も考えられますので、事例を多く知る専門家に会社を経営する上でどこまで対応することがベストなのか相談すると解決策が見えてきます。

関連リンク:マイナンバー特集

またガイドラインでは従業員100名以下の「中小規模事業者」の特例が設けられているなど中小企業への配慮も見られますので、事業規模に応じて柔軟性を持った対応をすることが大切です。