マイナンバー制度についての講演で地方に行くと、「これまで軽く考えていたが、企業として対応する準備が必要だと気がついてびっくりした」という中小企業経営者の声をたくさん聞いた。多くの感想は「個人情報保護法の際にも、自分のところは関係なく済んだので、今回も関係があるとしても簡単な対応で済むように仕組みができるのだろう」と錯覚していたというものである。

確かに個人情報保護法制定時には、中小企業への負担増大を考慮して、個人情報取扱事業者として法の適用を受ける企業を「過去6ヵ月の間一度でも5000を超える個人情報（識別される特定の個人の数）を有した事業者」という条件に限定した。その結果、半年の間5000件以下の個人情報しか保有しなかった企業は適用を除外される措置が取られていた。

しかし、マイナンバー法では、この除外措置がない。企業や団体が従業員・アルバイトなどに支払っている給料の源泉徴収票を税務署に届け出る際にそれぞれに個人番号を付けなければならないので、ほとんどの企業、団体は個人番号の取扱事業者になる。年金や保険などの届け出に必要になる。講演謝礼や原稿料などでも個人に支払う際には支払調書提出の際に個人番号が必要になる。

個人情報の取得、保管、廃棄については厳しいルールを守る必要が出て来る。

社会保障と税に関する事務について、必要な場合に限って個人番号を取得し、必要な期間だけ保管し、必要がなくなったら廃棄する。その証拠となる記録を手続きごとに取っておかなければならない。取り扱いについては、担当者を決め、使用するパソコンはインターネットに接続する際にウイルスなどに感染しないような厳重な措置をとる、作業場所も個人番号が流出しないように配慮した地域を作る、個人番号が記された資料を保管するのは鍵のついたロッカーなどに厳重に管理するなど、しっかり手順を決めておかなければならない。社内規則の改定もしておかなければならない。

個人情報保護法制定時と違って、中小・零細事業所を含めてほとんどすべての事業所が対応策を講じなければならない。もはや「他人事」ではない。

さらにマイナンバー法に合わせて個人情報保護法も改定される（現国会に上程中）。その代表的なのが、これまでの「半年間、5000人以下」の除外規定の廃止だ。マイナンバースタートとともに、中小企業も零細事業も、ほぼすべての事業所がマイナンバー法だけでなく、個人情報保護法の規制も受けることになる。

また、罰則である。個人情報保護法では、情報窃盗罪がないので、個人情報を流出させた者には罰則がなく、流出させられた事業者が「管理義務違反」として主務大臣から行政指導を受け、さらに指導を守れない時に初めて責任者が懲役や罰金の処罰を受けるという「間接罰」だった。これに対してマイナンバー法では個人番号付きの情報を流出した犯人には直ちに懲役や罰金を科すという「直罰規定」が盛り込まれた。盗まれた企業にも管理義務違反として「直罰」の対象になる。個人情報保護法も今回の改定で「データベース窃盗罪」が新設され、改定の目玉になっているが、マイナンバーの罰則水準に合わせた厳罰化である。

中小・零細事業所のほとんどがマイナンバー法の対象になるとともに、個人情報保護法の厳罰化で中小・零細事業所も新たに個人情報保護法の規制対象になる。これを早く理解してもらわなければならない。


【 筆者＝JAPiCO理事長　中島洋 】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization