経営者の中には、マイナンバー制度と個人情報保護法は同じものなので、すでに個人情報保護法に合わせて社内の管理体制は整っている、だから、たいした対応措置もとる必要がない、と勘違いしている人も多いようだ。これは完全に勘違いである。急いで頭の中を修整して、マイナンバー対応を社内に指示してもらいたい。

マイナンバー法では企業にマイナンバーを使った業務を義務付けている。企業は従業員への給与支払いや各種税の徴収、各種年金・保険類の保険料の徴収、雇用保険の加入や脱退など、税や社会保障関係の行政機関への届け出には、従業員のマイナンバーを付けなければならない。

そこで必要に応じて従業員からマイナンバーを取得しなければならない。その手続きや窓口を決め、これらの担当者が適切にマイナンバーを保管し、使用していることを監督する仕組みを作らなければならない。また、本人の退社やその他、マイナンバーが不要になった場合は、速やかに削除しなければならない。従業員が不正にマイナンバーを収集し、あるいは、外部に流出させることは違法である。当人には懲役刑などの厳罰の規定があるが、同時に監督責任がある法人も処罰される「両罰」規定があるので、厳格な管理が重要である。

グループ会社などでの共用のルールもマイナンバー法では厳しい。個人情報保護法下では、親会社―子会社、グループ会社間などでは頻繁に出向などもあるので、個人データを共用してきたが、マイナンバー法では、同一の法人の内部でしか共用を認めない。ルールが違うので注意しなければならない。

マイナンバーを付けて行政に届け出を出すのは従業員に限らない。社内機関誌などに原稿を依頼したり、講演を依頼した際の謝礼の源泉徴収票や支払調書にもマイナンバーを付けて提出しなければならない。従業員でない人からマイナンバーを収集するので、さらに取り扱いには注意しなければならないし、業務が終了したら削除する手続きも徹底しなければならない。

外部への委託も取り扱いが厳しくなる。

社会保険労務士、税理士などに事務を委託している企業は多い。特にクラウドサービスなどでの利用が増大しているが、委託する企業は、委託先の安全状況を監督する義務がある。マイナンバー制では、その委託先（受託企業）がさらに別の企業に業務を再委託する際には、受託企業は委託企業の許諾なく再委託してはならない。また、委託企業は再委託企業の監督義務も負う。再々委託が発生する際にも同様である。

個人情報保護法ではなかった「マイナンバー収集」「マイナンバー保管」「マイナンバー破棄」というプロセスが発生する。しかも厳重に管理を義務付けられる。できるだけ早く、マイナンバー対応の体制を作らなければならない。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization