「マイナンバーは毎年集めているけれど、本当に正しく管理できているか不安だ」——中小企業の経営者や人事担当者から、こうした声をよく耳にします。マイナンバー制度が導入されて以来、事業者には収集・保管・廃棄のすべてにわたって法律上の義務が課されています。しかし専任担当者を置く余裕がない中小企業では、知識が属人化し、気づかないうちにルール違反の状態になっているケースも少なくありません。
本記事では、マイナンバー管理の実務における基本的な流れと、中小企業が特に注意すべきポイントを体系的に解説します。法律の要点から収集・保管・廃棄の具体的な手順、委託先管理や罰則リスクまで、現場で活用できる情報をまとめていますので、自社の管理体制を見直す機会としてお役立てください。
マイナンバー管理の基本:事業者が負う法的義務とは
マイナンバー(個人番号)の取り扱いは、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(通称:マイナンバー法、番号法)によって厳格に規定されています。まずは事業者として理解しておくべき基本原則を確認しましょう。
利用目的は3分野に限定されている
マイナンバーは、税務・社会保障・災害対策の3分野に限定して利用が認められています。事業者が従業員のマイナンバーを扱う主な場面は、源泉徴収票や支払調書の作成、雇用保険・社会保険の手続きなどです。これらの法定手続き以外の目的でマイナンバーを収集・利用することは、法律で禁止されています。
また、収集の際には「何のために使うのか」を本人に明示する義務があります。漠然と「マイナンバーを教えてください」と伝えるだけでは不十分で、「給与所得の源泉徴収票作成のため」など具体的な利用目的を示す必要があります。
本人確認は「番号確認」と「身元確認」の2点セット
収集時には、番号が正しいことを確認する「番号確認」と、本人であることを確認する「身元確認」の両方を行わなければなりません。最も手続きが簡便なのはマイナンバーカードを提示してもらう方法で、1枚のカードで2つの確認が完結します。
マイナンバーカードを持っていない従業員の場合は、番号確認書類(旧来の通知カードや住民票など)と身元確認書類(運転免許証や健康保険証など)を組み合わせる方法が一般的です。なお、通知カードは2020年5月以降に新規発行が停止されましたが、氏名・住所などの記載内容が住民票と一致している場合に限り、引き続き番号確認書類として使用できます。
中小企業には一部措置の簡略化が認められている
個人情報保護委員会(旧:特定個人情報保護委員会)のガイドラインでは、従業員数100人以下の中小規模事業者については、安全管理措置の一部を簡略化した対応が認められています。たとえば、組織体制の整備にあたって、責任者と担当者を兼務させることも可能です。ただし、「簡略化できる」のはあくまで一部の組織的・人的措置であり、情報の適切な保管や廃棄といった基本的な義務は、規模を問わずすべての事業者に適用されます。
収集から廃棄まで:マイナンバー管理の実務フロー
マイナンバーの管理は、収集して終わりではありません。保管中の安全管理、そして不要になった後の廃棄まで、一連のサイクル全体にわたって適切な対応が求められます。ここでは各フェーズごとに実務上のポイントを整理します。
収集フェーズ:書式の統一と本人確認の徹底
収集業務を効率化し、記録を残すために、「マイナンバー提供依頼書」と「利用目的通知書」をセットで用意することを推奨します。これにより、口頭説明の漏れを防ぎ、後日のトラブルにも備えることができます。
扶養家族のマイナンバーを収集する場合は、従業員本人に委任状を取得したうえで代理収集する手続きが必要です。家族分を直接取り寄せようとするのではなく、従業員を経由して適切な手順を踏むことが重要です。
- 入社時や扶養追加時など、収集のタイミングを社内で統一する
- 本人確認書類のコピーは必要最低限の情報に限定し、安全に保管する
- 収集した記録(誰から・いつ・何の目的で収集したか)を台帳に残す
保管フェーズ:紙と電子データそれぞれの対策
マイナンバーを含む書類(特定個人情報といいます)の保管にあたっては、アクセスできる人員を必要最低限に絞り込むことが原則です。
紙で保管する場合は、鍵付きのキャビネットや書庫に保管し、担当者以外がアクセスできない環境を整えます。デスクの引き出しに無施錠のまま保管したり、他の一般書類と混在させたりすることは避けましょう。
電子データとして保管する場合は、アクセス権限の設定、暗号化処理、外部メディアへの持ち出し禁止設定などの技術的措置が必要です。クラウド型の給与計算ソフトや人事管理システムを利用する場合は、そのサービスが十分なセキュリティ基準を満たしているかを事前に確認し、必要に応じてサービス規約や契約内容を精査してください。
また、「特定個人情報取扱規程」(社内規程)を作成し、担当者全員に周知することも重要な義務の一つです。担当者が変わっても対応が属人化しないよう、文書化された手順書として整備しておきましょう。
廃棄フェーズ:タイミングと方法を誤らない
マイナンバーを含む書類は、法定保存期間が経過したら速やかに廃棄しなければなりません。源泉徴収票などは法定保存期間が7年とされており、退職者については退職翌年の源泉徴収票提出後など、法定期限の到来後に廃棄を行います。
廃棄方法については、紙書類はシュレッダー処理が基本です。電子データについては、「ゴミ箱に移動して削除」する程度では復元可能な場合があるため、専用の消去ツールを使った上書き削除や、記録メディアそのものの物理的な破壊が求められます。
さらに、廃棄を行った際は「いつ・誰が・何を廃棄したか」を記録として残すことが重要です。この廃棄記録は、税務調査や行政の立入検査などの際に管理状況を説明するための根拠にもなります。
見落としがちな2つのリスク:委託先管理とテレワーク環境
社労士・税理士への委託時の注意点
給与計算や社会保険手続きを社会保険労務士(社労士)や税理士に委託している企業は多いと思います。この場合、マイナンバーを含む情報を外部の専門家に提供することになりますが、委託した側(事業者)には委託先を監督する義務が生じます。
具体的には、委託契約書に安全管理措置に関する条項を明記することが必要です。また、委託先がさらに業務を第三者に再委託する場合(再委託)についても、元の事業者は監督義務を負います。「専門家に任せたから大丈夫」と丸投げするのではなく、契約内容や相手方の管理体制を確認する姿勢が求められます。
- 委託契約書に「特定個人情報の安全管理に関する条項」を盛り込む
- 再委託先の管理状況についても確認できる体制を整える
- 委託先のセキュリティポリシーや情報管理規程の開示を求めることも検討する
テレワーク環境での管理に潜むリスク
在宅勤務が普及したことで、マイナンバーを含む書類や電子データを自宅で取り扱う機会が増えています。しかし、自宅環境は会社のオフィスと比べてセキュリティ対策が不十分なケースが多く、注意が必要です。
テレワーク環境での主なリスクとしては、家庭用の共有パソコンの使用、無線LANの暗号化不足、書類の自宅への持ち帰りなどが挙げられます。社内規程において、マイナンバーを含む特定個人情報は原則として社外への持ち出しを禁止する旨を明記し、やむを得ず取り扱う場合の手順(VPN接続の義務化、専用端末の使用など)を定めておくことが望まれます。
違反した場合のリスク:罰則の具体的な内容
マイナンバー法は、個人情報保護法と比べても罰則が重い法律とされています。万一違反した場合のリスクを正確に把握し、管理体制整備の動機につなげることが重要です。
主な罰則の内容は以下のとおりです。
- 正当な理由のない特定個人情報の提供:4年以下の懲役または200万円以下の罰金
- 不正な利益を目的とした提供・盗用:3年以下の懲役または150万円以下の罰金
- 個人情報保護委員会への虚偽報告:1年以下の懲役または50万円以下の罰金
また、法人には「両罰規定」が適用されるケースがあります。これは、違反行為を行った個人だけでなく、その個人が所属する法人にも罰金が科される規定です。「個人の担当者が勝手にやったこと」では済まされない場面があるということを、経営者としても認識しておく必要があります。
罰則だけでなく、情報漏洩が発生した場合の社会的信用の失墜も深刻なリスクです。取引先や従業員からの信頼を失うことは、企業経営に長期的なダメージをもたらします。
今日から始める実践ポイント:中小企業の管理体制整備
法律の要件をすべて満たす管理体制を一度に整えるのは難しいかもしれませんが、優先度の高い項目から順に取り組むことが重要です。以下に、中小企業が特に優先すべき実践ポイントをまとめます。
ステップ1:取扱規程と担当者の明確化
まず「特定個人情報取扱規程」を作成し、マイナンバーを取り扱える担当者を文書で限定しましょう。規程は市販の書式や行政機関が公開しているひな形を参考にすることができます。担当者には誓約書(守秘義務誓約書)を締結してもらい、情報管理の責任を自覚させることも有効です。
ステップ2:保管環境の点検と整備
現在マイナンバーを含む書類がどこにどのように保管されているかを棚卸しします。施錠されていない場所に置かれていないか、アクセスできる人が多すぎないかを確認し、鍵付き保管や電子データのアクセス制限など、必要な措置を講じます。
ステップ3:廃棄ルールの運用開始
退職者の情報や法定期限が到来した書類について、廃棄のタイミングと方法を社内ルールとして定めます。「気がついたら退職者のマイナンバーをずっと保管していた」という状況を防ぐために、年に一度の定期的な棚卸しを習慣化することを推奨します。
ステップ4:委託先との契約内容の確認
社労士や税理士など外部の専門家に業務委託をしている場合は、現在の委託契約書にマイナンバーの安全管理に関する条項が含まれているかを確認します。記載が不十分な場合は、覚書の追加や契約の見直しを検討しましょう。
ステップ5:従業員への教育と周知
入社時のオリエンテーションにマイナンバーの取扱いルールに関する説明を組み込みます。担当者だけでなく、マイナンバーを目にする可能性のある全従業員に対して、「目的外利用の禁止」「不審な問い合わせへの対応方法」などを周知することが望ましいです。
まとめ
マイナンバー管理は、収集・保管・提供・廃棄という一連のサイクルにわたって継続的な対応が求められる業務です。「収集さえ済ませれば大丈夫」「専門家に任せているから問題ない」という認識は、思わぬ法令違反につながるリスクがあります。
中小企業であっても、取扱規程の整備、担当者の限定、適切な保管環境の確保、そして廃棄ルールの運用という基本的な義務は免除されません。一方で、従業員100人以下の事業者には一部措置の簡略化が認められているため、自社の規模に応じた現実的な体制を構築することが可能です。
まずは現在の管理状況を棚卸しし、不備がある部分から優先的に改善を進めることをおすすめします。疑問点がある場合は、個人情報保護委員会が公開しているガイドラインや、信頼できる専門家(社労士・税理士・弁護士など)への相談を活用してください。適切な管理体制の整備は、法令遵守にとどまらず、従業員や取引先からの信頼を守ることにもつながります。
よくある質問
Q1: マイナンバーを収集する際、どのような目的であれば使用して良いのですか?
マイナンバーは税務・社会保障・災害対策の3分野に限定して利用が認められています。事業者が扱う主な場面は、源泉徴収票や支払調書の作成、雇用保険・社会保険の手続きなどです。これら以外の目的での利用は法律で禁止されています。
Q2: 従業員からマイナンバーを収集する時に、本人確認はどのように行えば良いのですか?
番号が正しいことを確認する「番号確認」と本人であることを確認する「身元確認」の両方が必要です。最も簡便な方法はマイナンバーカード1枚で両方を完結させる方法で、カードがない場合は通知カードや住民票などと運転免許証の組み合わせが一般的です。
Q3: 従業員の扶養家族のマイナンバーを集める場合、どのような手順が必要ですか?
扶養家族のマイナンバーは従業員本人に委任状を取得した上で、代理収集する手続きが必要です。企業が直接家族に連絡して集めるのではなく、必ず従業員を経由して適切な手順を踏むことが重要です。
労務管理の課題を抱える企業様には、INTERMINDの産業医サービスをご検討ください。産業医と連携した従業員の健康管理体制を構築できます。
