弁護士法人Nexill&Partners(那珂川オフィスサイト)

マイナンバーの外部サービスとプライバシーマーク制度

マイナンバーの運用が定着した昨今ですが、運用状況の記録や、保管書類の法定保存期間の管理、情報漏えい防止等の安全管理など、事業者が対応に費やす時間と労力は少なくありません。
そこで今回はクラウドシステムや外部サービスをご紹介したいと思います。
また後段では、安全管理対策の徹底化にあたり、プライバシーマーク制度という既存の個人情報の保護措置を利用する方法も合わせて紹介したいと思います。

1.マイナンバーの管理に便利なシステムとは?

マイナンバー管理に、クラウドサービスでマイナンバーの収集や管理、廃棄をサポートしてくれるクラウドシステムが活用されています。
クラウドとは、「クラウドコンピューティング」の略で、データを自分のパソコン等ではなく、インターネット上に保存する使い方やサービスのことです。以下主な特徴をご紹介します。

従業員の情報を登録することで、システムからその従業員にメールでマイナンバーの収集依頼が行えます。
従業員がスマートフォンやパソコンから指定されたアドレスにアクセスすると「利用目的」が通知され、マイナンバー、「通知カード」や本人確認書類をシステム上に保存することができます。書面でのやり取りがないため、事業者のパソコンにはデータが残りません。

マイナンバーは、システムを提供するクラウド事業者が管理するデータセンターに“暗号化”されて保存されます。
システムには、権限の管理機能や利用履歴の管理機能も設けられていますので、情報漏えいや紛失、不正利用のリスクも軽減できるのがメリットです。
システムで廃棄時期を管理しているので、法定保存期間を気にする必要もありません。

また、給与システムや社会保険システムと連携することができるものであれば、ほかのシステムにマイナンバーを保存することなく、必要な書類を作成することが可能です。
クラウドシステムを導入すると、マイナンバーや特定個人情報を管理する場所を限定でき、人為的なミスも極力抑えることが可能です。

2.マイナンバーの取得に便利なアイテムやサービスとは?

クラウドシステム以外にも、マイナンバーの取得や収集、管理、廃棄に便利なアイテムやサービスがあります。

小規模事業者向けに、マイナンバーの「取得・保管セット」が販売されています。
こうしたセットには、①個人番号報告書、②利用目的の通知書、②収集用の封筒、④本人確認書類ごとに保管できる封筒、⑤専用バインダーが含まれます。
取得から廃棄までの一連の作業を安全に行えるように工夫されているので、紙ベースでのマイナンバーの取得、保管、廃棄までの対策が容易になります。

また、事業者に代わって代行業者がマイナンバーの収集を行う「マイナンバー収集代行サービス」もあります。
一般的には、①代行業者が事業者の従業員に対してマイナンバー収集の案内状を発送する、②従業員がマイナンバー申告書にマイナンバーなどを記入し、本人確認書類の写しとともに代行業者に返送する、③代行業者が書類を元に従業員の本人確認をする、④代行業者が事業者に従業員のマイナンバーを連絡する、といった流れになります。

マイナンバーを収集する際には、代行業者が十分な安全管理措置を講じたうえで、必要書面の作成から回収までを行ってくれます。

マイナンバー管理を自社で行うには、様々な労力やリスクが伴います。これらを全て外部サービスで対応することも経営判断としては重要でしょう。

3.プライバシーマーク制度とマイナンバー制度の関係は?

プライバシーマーク制度とは、日本工業規格であるJISQ15001(個人情報保護マネジメントシステム―要求事項)に適合し、個人情報について適切な保護措置を行っている事業者を認定し、その事業者にプライバシーマーク(Pマークという)の使用を認める制度です。

Pマークを付与された事業者であれば、すでに個人情報を適切に保護する仕組みを整備・実践し、その改善も行っているため、個人情報であるマイナンバーや特定個人情報の取り扱いについても、追加で必要となる措置に対応することにより、比較的容易にマイナンバー制度に対応する素地が整っていると言えます。

まず個人情報としてマイナンバーや特定個人情報がその対象に加得る必要があります。どのようなマイナンバーや特定個人情報を取り扱うことになるかを特定して、リスクの認識やその対策を講じましょう。

次に、個人情報を取り扱う際に参照すべき法令や指針に、番号法(行政手続きにおける特定の個人を識別するための番号の利用等に関する法律)とガイドライン(特定個人情報の適正な取り扱いに関するガイドライン)を加えましょう。

また、マイナンバーや特定個人情報を取り扱う担当者を決めて、その役割や権限を明確にしましょう。
マイナンバーを利用できる範囲や特定個人情報を作成できる範囲は限定する必要があり、本人の同意があっても子の範囲を超えて利用や作成はできませんので、担当者は留意が必要です。

なお、番号法で規定されたケース以外はマイナンバーや特定個人情報の提供ができず、提供を受ける場合には本人確認が必要です。
番号法で規定されたケース以外でのマイナンバーや特定個人情報の保管も行えません。所管法令によって義務付けられている保存期間を経過したときは、できるだけ速やかに削除または廃棄する必要があります。

委託契約を結ぶ場合には、ガイドラインに具体的に示されている規定を盛り込む必要があります。マイナンバーや特定個人情報については、今までよりも厳しい取扱いが要求されていますが、上記の点に留意して既存の仕組みを改善していけば問題ないでしょう。

4.まとめ

クラウドサービスを利用する場合、マイナンバーや「特定個人情報」をクラウドで管理することになるので、業者を選定する際には、安心できるセキュリティが提供されていることが重要なポイントになります。収集代行サービス等においても同様です。

月額千円以下から数千円で利用できますので、多少の経費でリスクを軽減でき、時間と労力を他に費やすことができるならば、導入を検討する価値はあると言えます。