- 日時: 2014年12月9日(火)15時~16時40分
- 場所: 経団連会館 2階 経団連ホール(モニター会場:2階 国際会議場)
- 主催: 日本経済団体連合会、経済広報センター
- 司会: 経団連産業技術本部長 続橋 聡
- プログラム
1.開会 五十嵐 芳彦 経団連電子行政推進委員会電子行政推進部会長
(東京海上日動火災保険常務取締役)2.マイナンバー制度の概要について 内閣官房 社会保障改革担当室 審議官
内閣官房 情報通信技術(IT)総合戦略室長代理(副政府CIO)
内閣府 大臣官房 番号制度担当室長
内閣官房 すべての女性が輝く社会づくり推進室次長向井 治紀 殿 3.質疑応答 4.マイナンバーガイドライン入門
~「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(案)の概要~特定個人情報保護委員会事務局長 其田 真理 殿 5.質疑応答 6.閉会 - 資料
- (資料第1) 内閣官房社会保障改革担当室 提出資料
- http://www.keidanren.or.jp/policy/2014/105_shiryo1.pdf
- (資料第2) 特定個人情報保護委員会事務局 提出資料
- http://www.keidanren.or.jp/policy/2014/105_shiryo2.pdf
(下記、議事要旨の文頭ページ番号は各資料のページ番号)
1.開会
(五十嵐経団連電子行政推進委員会電子行政推進部会長)
マイナンバーガイドライン説明会を開催する。
内閣官房の向井内閣審議官には、ご来席いただき、感謝申し上げる。また、本日は、700名以上の会員企業の皆さまにお集まりいただいた。隣のモニター会場で映像をご覧いただいている方もいる。
経団連が、社会保障・税一体改革や電子行政の基盤として求めてきたマイナンバー制度の導入まで1年余りとなった。来年10月には、マイナンバーが市区町村から全国民に通知され、2016年1月から、国や地方公共団体などにおいて、社会保障・税・災害対策の分野で利用される。
企業においては、所得税の源泉徴収、住民税の特別徴収、社会保険料の支払・事務手続きなどで、マイナンバーの取扱いが必要となる。各社におけるマイナンバー制度への準備にあたっては、特定個人情報保護委員会の「マイナンバーガイドライン」に準拠する必要がある。
そこで、本日は、内閣官房の向井内閣審議官からマイナンバー制度の概要について説明いただくとともに、特定個人情報保護委員会の其田事務局長から「マイナンバーガイドライン」(案)の概要について説明いただくこととした。
2.マイナンバー制度の概要について
(内閣官房 向井内閣審議官)
【社会保障・税番号制度の導入趣旨】
P.1 マイナンバーは、社会保障・税・災害対策の分野で利用が開始される。米国においては社会保障番号(SSN:Social Security Number)が導入されている。社会保障分野で利用するための番号であるが、利用制限がないため様々な分野に用途が広まっている。韓国においても住民登録番号が利用されている。2016年1月に施行されるマイナンバー制度は、法律に利用範囲を明記したうえで、それ以外の利用は禁止されている。個人情報の適正な取り扱いを遵守する観点から、まずは、スモールスタートとしたうえで、将来的には利用範囲を広げていくことを前提としている。
P.2 マイナンバー制度は個人番号や法人番号を付番することから始まる。現在においても、最も手近な番号として年金番号や住民票コードなどがあるが、住民票コードは規定されている利用方法以外で利用できないため、自身の番号を把握している方は少ないだろう。マイナンバー制度では、住民票コードを基に番号を生成して付番することが特徴である。公的な申請書類を提出する場合には、住所、氏名、年齢などを記載することが多いが、それと併せて番号を記載することになる。会社や個人で提出する税や社会保障関係(年金、雇用保険等)の書類に、住所、氏名と同様に個人番号を記載いただくことになる。個人番号を受け取った役所は個人番号を利用して名寄せをする。これまでであれば、所得証明書や住民票を持参して申請するよう、役所に言われていたところ、マイナンバー制度が導入されれば、役所間でバックオフィス連携することにより住民が持参する必要がなくなる。
個人番号の利用分野は社会保障、税、災害対策の3分野に法定されているが、社会保障分野のうち医療分野においては、健康保険等の保険料徴収等の保険者における手続で利用されることとなる。身体情報やカルテ情報については今回のマイナンバー法には利用範囲として規定されていないため、カルテ情報などを地域の医療連携に利用しようとすると、法律改正又は条例による手当てが必要となる。また、税分野では税務当局に提出する確定申告書、届出書、調書等にマイナンバーを記載することになっており、調書の増減に伴って利用事務の範囲が変動する。金融業界においては、生命保険や損害保険の支払調書、証券分野では投信の支払調書などに個人番号を記載することになる。一方、預金口座には付番されないことになっている。これについては、マイナンバー制度の検討過程においても議論になったが、預金口座への付番については現在政府内で議論されているところ。災害分野についても、東日本大震災を踏まえて被災者生活再建支援金支給事務において利用できるようにしている。また、地方公共団体は、福祉や保健もしくは医療その他の社会保障、地方税または防災に関する事務その他これらに類する事務であって条例で定める事務に利用することができる。
【個人番号カード】
P.3 米国の社会保障番号は個人番号そのもので本人確認を行っているため、なりすましによる被害が発生した教訓がある。そのため、番号法では、個人番号単体で本人確認をしてはいけないことにしている。個人番号の事務を行うにあたっては、申請等を行う者の身元の確認と個人番号が正しいものであるかの2つを確認しなければならない。これを同時に1つのカードで行えるものが、個人番号カードである。全ての国民に個人番号カードを持っていただきたいと考えている。個人番号カードにはICチップが入っている。これまで申請書などに手書きで記載していた住所、氏名などの情報をICチップのなかに格納しておけば、それを読み取ることにより手書きによる記入を省略することもできる。個人番号カードを普及させることが課題であると認識している。
【番号制度における情報連携の概要】
P.4 地方公共団体以外の機関(国の機関)と地方公共団体は、情報提供ネットワークシステムを通じて情報連携を行う。個人情報が不正に取り扱われることを予防する仕組みとして、個人が個人番号カードを利用してインターネット経由で情報連携のアクセスログを確認できる仕組みを導入する。
【社会保障・税番号制度における安心・安全の確保】
P.5 個人情報が個人番号をキーに名寄せ・突合されて国家により一元管理されるのではないかといった国民の懸念に対して、マイナンバー制度では保護措置を講じている。
制度面における保護措置として、番号法の規定によるものを除き、特定個人情報(個人番号をその内容に含む個人情報)の収集・保管、特定個人情報ファイルの作成を禁止している。また、特定個人情報保護委員会による監視・監督や、罰則が強化されている。法律で規定されていない利用方法は禁止されているところがポイントである。
システム面における保護措置として、個人情報を一元的に管理せずに、分散管理することや、情報連携を行う際には個人番号を直接用いず符号を用いた情報連携を実施する。
新聞報道などで、マイナンバー制度は個人情報を一元管理するものだと記載されることがあるが、それは明らかな誤りである。税に係る情報は税務当局、年金に係る情報は日本年金機構が保有するというように分散管理するため、データベースそのものについては、これまでと何ら変わりない。
【個人番号カード(ICチップ)の記録事項】
P.7 ICチップのなかには、プライバシー性の高い情報が格納されているのかと聞かれることがある。個人番号カード(ICチップ)に記録されるのは、券面記載事項(氏名、住所、生年月日、性別、個人番号、本人の写真等)、総務省令で定める事項(公的個人認証に係る電子証明書等)、市町村が条例で定めた事項等に限られる。市町村が条例で定めた事項「等」とは、国が政令で定めると民間でも利用できるようになることを示している。ICチップの空き容量を利用して、例えば、健康保険証との併用ができないか、国家公務員共済組合員証との併用ができないか、民間の事業者が提供しているなんらかの情報やIDなどを入れられないか、などを検討していきたいと考えている。
【罰則の強化】
P.8 マイナンバー法は、個人情報保護法などと比べてより厳しい内容の罰則となっている。
【社会保障・税番号制度導入のロードマップ(案)】
P.9 2015年10月から個人番号が付番される。税の分野では、2016年1月から利用が開始され、社会保険も同様である。これ以降の調書、申告書等には個人番号、法人番号を記載いただくことになる。従業員や謝金を支払う者から個人番号をいただくが、2016年1月からでは対応が困難になる場面も想定される。例えば、正月のアルバイトにおいては予め個人番号を確認しておく必要が出てくる。これについては、法改正などにより、準備行為が可能となるような措置を検討している。
2017年1月から情報提供ネットワークシステムの運用が開始される。2017年1月から国の機関間、2017年7月を目途に地方公共団体等との連携が開始される。税の法定調書への個人番号あるいは法人番号の記載は2016年1月から開始される。
【民間企業における番号の利用例】
P.12 税分野では従業員の給与所得や退職所得の源泉徴収票、報酬、料金、謝金等を支払いする場合や、利益配当、不動産の使用料等の支払調書等に利用される。社会保障分野において、企業と関係のある健康保険組合は国と同等の事務を行うため、組合員から保険料の徴収等のために個人番号の提供を受けることになる。企業は健康保険や雇用保険、年金などで提出を要する書面に従業員の個人番号を記載することになる。数量が多いのは給与所得になるだろう。常勤雇用において支払調書が必要となる時期は約1年後になると考えられるが、最初に発生する事務としては、正月の短期アルバイトの給与支払に対して個人番号を付す事務が想定される。また、4月1日付けで昇給する場合、標準報酬が変われば支払調書を提出する必要があり、このタイミングで多数の企業において事務が発生すると見込まれる。
【国税関係の申告書等における番号記載のイメージ】
P.13 給与所得の源泉徴収票における番号制度導入後のイメージとしては、「支払を受ける者」の個人番号を記載する欄、「控除対象配偶者」及び「控除対象扶養親族」の氏名及び個人番号を記載する欄、「支払者」の個人番号(個人の場合)または法人番号(法人の場合)を記載する欄が設けられることになる。
【確定申告時の添付書類(住民票)の削減】
P.14 現在、確定申告時に市町村から住民票を取り寄せて税務署に提出しているが、番号制度導入後は不要となる。
【源泉徴収票・給与支払報告書の電子的提出先の一ヵ所化】
P.15 企業は従業員の給与に係る源泉徴収票と給与支払報告書を税務署と従業員住所地の市町村にそれぞれ仕分けしたうえで郵送しているが、一種類の様式をエルタックス(地方税ポータル)に送信すれば、番号を活用して自動的に振り分けて提出されるため、企業の事務負担を軽減できる。
【本人確認の措置(本人)】
P.18 個人番号カードであれば1枚で番号確認と身元(実存)確認が取れる。通知カードであれば、運転免許証やパスポートなどを組み合わせて本人確認ができる。また、身元(実存)確認において確認する手段がない場合、個人番号の提供を行う者と雇用関係にあること等の事情を勘案し、人違いでないことが明らかと個人番号利用事務実施者が認めるときは、身元(実在)確認書類を要しない現実的な方法についても規定している。
P.19 個人番号カード(ICチップの読み取り)により、オンラインでも番号確認と身元(実存)確認ができる。
電話の場合は、本人しか知り得ない事項その他の個人番号利用事務実施者が適当と認める事項の申告により身元(実存)確認ができるとしている。さらに、税や年金等のそれぞれの手続きにおける本人確認手段を具体的に詰めていきたいと考えている。
【本人確認の措置(代理人)】
P.20 本人確認手段は代理人でも可として法定されている。その場合、代理人の身元(実存)の確認と代理権の確認が加わる。
【マイナンバー等分科会 中間とりまとめの概要】
P.24 「個人番号カード」「マイポータル/マイガバメント」「個人番号、法人番号」の3つに分類して利活用拡大を検討している。個人番号カードについては健康保険証との併用、マイポータル/マイガバメントについては引越しや死亡などのライフイベント等におけるワンストップサービスを実現したいと考えている。また、電子郵便サービスのようなものに送達の効果を付し生命保険料の支払証明書の添付を不要にすることなどについて今後検討していきたいと考えている。
また、更なる効果が期待できる分野として、戸籍事務、旅券事務、預貯金付番、医療・介護・健康情報の管理・連携、自動車登録事務への利用範囲の拡大を検討している。戸籍は法務省が立ち上げた研究会において検討が進められており、旅券は戸籍事務における検討状況を踏まえつつ検討が進められる。自動車登録のワンストップ化については、近い将来に実現できるよう国土交通省にて検討が進められている。医療・介護・健康情報の管理・連携については、厚生労働省において立ち上げられた研究会においてマイナンバーと似た医療ID(見えない符合)を用いた情報の連携が検討されている。預貯金付番の検討はこれらの中で最も検討が進んでおり、次期通常国会での改正法案の提出を目指している。
【確定申告の省電力化等(電子私書箱+マイ・ポータル)】
P.28 各種支払等証明等の電子データをマイガバメント上で受領し、そのままe-Tax(国税電子申告・納税システム)等に転記可能とすることにより、転記の省力化や書類管理の負担の軽減を検討している。各種支払証明書を発行する企業にとっても証明書等の発行事務及び郵送費などの削減が期待できる。
P.29 マイナンバーのホームページ:「http://www.cas.go.jp/jp/seisaku/bangoseido/index.html」、マイナンバー公式twitter:「https://twitter.com/MyNumber_PR」、マイナンバーロゴマークは普及啓発のために使用規約に基づいて使用いただける。また、コールセンターも開設しているので、不明点等があれば利用いただきたい。
3.質疑応答
Q1:海外出向しているため、住民票を持っていない従業員の個人番号は誰が発行するのか。また、その際に、本人に代わって企業が申請手続きを実施する義務などは発生するか。
A1:マイナンバーの発行は住民票が日本に存在する人が対象となる。2016年1月の法施行時に海外にいる人は帰国して住民票が発行されて初めてマイナンバーが発行される。税務申告等では、マイナンバーが付番されていない人は空欄で提出していただければよい。一旦、マイナンバーが発行されると、海外に赴任しても、帰国後は同じマイナンバーで手続きを行うことになる。
Q2:タレントなどに謝金を支払う場合のマイナンバーの取得方法は、本人に直接確認するのか、それとも事務所に所属している場合は事務所に確認することになるのか。
A2:事務所とのやりとりは法人に対する支払いになるので個人番号は必要ない。通常の委託契約になるのではないか。個人と出演契約をする場合は、個人から個人番号カードなどで番号を確認することが必要となる。
4.マイナンバーガイドライン入門
~「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(案)の概要~
(特定個人情報保護委員会 其田事務局長)
P.1 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(案)のなかには実務担当者からの質問や意見を踏まえて、わかりにくいと思われる点についてはできる限り具体例を挙げて記載するように配慮した。具体例も参照いただきながら実務に当たっていただきたい。
【特定個人情報保護委員会】
P.2 特定個人情報保護委員会とは、2014年1月に新しく設置された合議制の委員会である。主な所掌事務はマイナンバーの取扱いが保護されているかどうかを監視・監督することであり、その一環として、ガイドラインを策定している。
【安心・安全の確保】
P.3 マイナンバー制度に対して、個人情報が漏洩するのではないか、なりすまし等により財産その他の被害に遭うのではないか、国家により一元管理されるのではないかなど、国民の懸念に応えるために様々な保護措置が設けられている。これから説明する番号法の厳しい規制についても、このような国民の懸念に対応するための措置であることをご理解いただきたい。
特定個人情報とは、マイナンバーをその内容に含む個人情報を指す。個人データなどにマイナンバーを付けると、それ全体が特定個人情報になる。
ガイドラインには、行政機関等・地方公共団体等編と事業者編の2つが存在する。事業者編には(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドラインがついている。ガイドラインの構成としては「第1 はじめに」「第2 用語の定義等」「第3 総論」「第4 各論」となっている。
「第1 はじめに」の箇所には番号法の理念が記載されているため、企業トップの方にもご一読いただきたい。「第3 総論」は番号法の規制の概略を記載している。番号法は個人情報保護法の特別法の位置づけであるが、わかりにくい法律である。番号法のなかでどのようなことが規制されているのかについて、その枠組みをわかりやすく記載しているので、担当役員の方々には読んでいただきたい。実務担当者の方々には「第4 各論」を確認いただきたい。
【個人番号のフローと本ガイドラインの適用】
P.4 検討会に参加した企業から、番号法の条文の順番ではなく、個人情報のライフサイクル(取得、安全管理措置等、保管、利用、提供、開示・訂正・利用停止等、廃棄)に沿った記述の方がわかりやすいと意見をいただいた。ガイドラインは番号法の条文に合わせた記載にせざるを得ないが、ガイドラインの巻末には個人情報のライフサイクルとガイドライン構成の対応表を示している。本日はガイドラインの構成順ではなく、個人情報のライフサイクルの順番で説明する。
個人情報保護法は1日に5,000件以上の個人情報を取扱わない事業者に対しては適用除外とされているが、番号法では適用除外とならない点に留意が必要である。
【事業者における個人番号との関わり(個人番号関係事務)】
P.5 従業員から個人番号の提示を受け、会社が支払調書や源泉徴収票などに記入をして、税務署やハローワークなどの役所関係に提出する。これが個人番号に係る事務となる。会社が個人番号を付して役所に提出する事務のことを、法律上、個人番号関係事務としている。
番号法で限定的に明記された場合を除き、個人番号を利用・提供等することはできない。決められた事務にしか個人番号を利用できないことが番号法の特徴である。決められた事務については番号法の別表に記載されている。民間企業においてはこれらの調書を記載するときに関係事務が発生する。
【取得】
P.6 番号法で限定的に明記された場合を除き、個人番号を利用・提供等することはできない。個人番号関係事務を処理するために必要がある場合に限って、本人などに対して個人番号の提供を求めることができる。提供を求める時期について「必要がある場合に限って」とはいつかというと、法律上では個人番号関係事務が発生した時点が原則となっている。その時期は、税務署に調書を提出するとき、あるいは、ハローワークに申請書を提出するときなど、ばらばらになる。都度、個人番号を取得するのは煩雑になるため、契約を締結した時点等の当該事務の発生が予想できた時点で求めることが可能であると解している。これについて、ガイドラインでは具体的な例を記述している。たとえば、従業員の個人番号の取得については、入社時に取得することが可能であることなどの解釈について記載している。また、本社や支店でビルを借りていて、オーナーが個人である場合には不動産賃貸料の支払調書にオーナーの個人番号を付して提出する必要があり、不動産賃貸契約を締結した時点で個人番号を取得しても良いと解される。新入社員から個人番号を預かった場合は、翌年以降も個人番号を利用することが想定されるので、保管をしても良いと整理している。また、派遣労働者に関する対応についてよく質問をいただく。派遣労働者の場合、派遣会社に登録した時点で取得可能なのか、派遣先が決まった段階なのかという質問がある。これについてはガイドラインと同時に公表しようと考えているQ&Aで解説している。解説では、一定の条件の下で、派遣会社に登録した時点で個人番号を取得しても良いとしている。
収集・保管についても制限があり、他人の個人番号をメモすること、プリントアウトすること等は「収集」に当たる。一方、個人番号の提示を受けただけでは「収集」には当たらない。本人確認手段として個人番号カードを提示いただくことは収集には当たらない。
【安全管理措置等(委託の取扱い)】
P.7 個人情報保護法と共通する規制と異なる規制がある。個人情報保護法と共通するところは、委託先に対して必要かつ適切に監督を行わなければならない点。委託元は委託先に対して必要かつ適切な監督をし、その委託先が再委託先に委託する場合にも必要かつ適切な監督をしなければならないことが規定されている。個人情報保護法と異なる規制として、委託先が再委託する場合には最初の委託者の許諾を得た場合に限り、再委託をすることができることになっている。これについては厳しいという意見もいただいたが、法律上の義務であり、ガイドラインでルールを変えることはできないため注意が必要。最近、委託、再々委託に関連して事案も起きているが、やはり最初の委託者の許諾を得たうえで委託することが重要であるとの認識は理解いただきたい。
必要かつ適切な監督の内容としては、委託先の適切な選定、委託先に安全管理措置を遵守させるために必要な契約の締結、委託先における特定個人情報の取扱状況の把握、が考えられる。契約内容として、秘密保持義務、事務所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、契約終了後の特定個人情報の返却または廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。契約を委託先と結び直す必要の有無についてよく質問を受けるが、従来の契約でカバーされているならば締結し直す必要はない。補足が必要な場合には、別途、覚書や協定書を結ぶことでよい。委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負うことになる。
【安全管理措置等(安全管理)】
P.8 いわゆる安全管理措置について、個人情報保護法や各主務大臣のガイドラインで記載されているものとして、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置が考えられる。
特定個人情報等の適正な取扱いの確保について組織として取り組むために、まずは基本方針を策定し、従業員に周知徹底することが重要である。基本方針の策定は義務ではないが、ガイドラインに盛り込んだ理由は、既存のプライバシーポリシーに加えてマイナンバーの取扱いを記載することによって経営者にまでマイナンバーのルールが浸透することを期待したためである。また、方針がペーパーになっていることで、その活用により、新入社員やアルバイト、管理者等に対する研修などにおいて周知徹底を図る効果が期待できる。
取扱規程の策定は義務となっている。マイナンバーを利用する場面は限定的であること、漏洩をしてはいけないことを考慮すると、社内規程を整備する必要がある。策定にあたって、取締役会で決議する等の意思決定手段については特に規定しておらず、マニュアル等何らかの明文化したルールブックは必要と考えている。
中小規模事業者に対する特例を設けることにより、実務への影響を配慮している。中小規模事業者は、事業者のうち従業員の数が100人以下の事業者であって、一定の事業者を除く事業者としている。中小企業基本法における中小企業の定義は業種ごとに異なっているが、マイナンバーについては、取り扱う特定個人情報の数は従業員数に比例することが想定されるため、業種別にする合理性はない。そのため、業種によって差を設けずに一定数の100人とした。金融機関や委託を受けた事業者、個人情報保護法上の個人情報取扱事業者は番号法上の中小規模事業者から除かれている。民間企業は自社の従業員のマイナンバーを源泉徴収票に記載して役所に提出するのが大半の事務となるが、事務の委託を受けた事業者が別の会社から預かって、それを生業とする場合においては、その事業者の従業員数に依存しないことから中小規模事業者の特例から除いていることには注意が必要。
P.16に「(別添)特定個人情報に関する安全管理措置」の中小規模事業者における対応方法を記載している。安全管理措置の内容(本則)と中小規模事業者における対応方法を一覧表にしている。「⇒」の箇所は、中小規模事業者の特例がないことを示している。例えば、安全管理措置の内容(本則)は基本方針を策定することが重要であるとしている。これについては中小規模事業者の特例はないが、先ほど述べたとおり、基本方針を策定することが義務ではなく、従業員に周知徹底することが重要であることから、中小規模事業者も同様の規定とした。また、「組織的安全管理措置」には「組織体制の整備」や「取扱規程等に基づく運用」が必要であるが、中小規模事業者の特例として、特定個人情報等の取扱状況の分かる記録を保存するとしている。「取扱状況の分かる記録」についてはQ&Aで解説しているが、具体的には業務日誌にメモをする、あるいはチェックリストにチェックをして日付を記載するなどが考えられる。会社がきちんと管理してきたことを説明できるような体制を整えることは、会社のリスクを軽減するためにも重要であろう。
【保管】
P.9 番号法で限定的に明記された場合を除き、特定個人情報を保管してはならないという厳しい規制がかかっている。法定調書や源泉徴収票は所管法令で保管年限が定められており、その間は保管してもよいとしている。雇用契約等の継続的な関係にある場合には、特定個人情報を継続的に保管できるとしている。従業員等が休職している場合には、復職が未定であっても雇用契約が継続していることから、特定個人情報を継続的に保管できる。土地の賃貸借契約等の継続的な関係にある場合も同様に、継続的に保管できると解される。
注意すべき点は、所管法令によって一定期間保存が義務付けられているものはその期間保管することとなるが、その期間が過ぎたときには、それ以降、利用する可能性がなくなるので、廃棄または削除することが番号法の義務となり個人情報保護法とは異なる。このとき、個人番号部分を復元できない程度にマスキングまたは削除したうえで他の情報の保管を継続することは可能である。検討会において企業からヒアリングした際に、紙で保管している情報は廃棄するが、電子媒体で保管している情報は半永久的に保管している場合が多いと聞いた。退職後に元従業員から問合せを受けたときに答えられなくなるために個人データを保管している会社が多いとうかがったが、マイナンバーについては廃棄または削除いただくこととしている。そのため、マイナンバー部分の廃棄または削除を前提とした「保管体制」「システム構築」をすることが必要となる。この点についてはまた14ページで触れる。
【利用(利用範囲)】
P.10 利用目的の特定は個人情報保護法の概念であるが、本人の同意があっても利用目的を超えてはならない点が番号法の概念となる。個人情報保護法では本人同意を取得すれば別の目的に利用できる。番号法は法律で利用事務が規定されているため、本人同意が得られても社員番号として併用するなどの使い方は禁止されている。利用目的の特定については、法令を所管している内閣官房などとも議論した結果、利用目的の特定の事例として、個人番号関係事務の場合、源泉徴収票作成事務、健康保険・厚生年金保険加入等事務に特定することが考えられる。従業員の諸手続き(税、扶養申告、社会保険等)として予見できるとの整理である。
また、特殊なケースであるが、社会保険の対象でない事業者が新規に社会保険に加入して、社会保険関係の届出書の提出事務が後から発生した場合、源泉徴収票作成事務を利用目的として提供を受けた個人番号について、利用目的を変更すれば社会保険関係の届出書でもそのまま利用しても良いことをガイドラインで示している。
【提供】
P.12 事業者が特定個人情報を提供できるのは、主として、社会保障及び税に関する事務のために従業員等の特定個人情報を行政機関等及び健康保険組合等に提供する場合になる。提供に当たらない場合の事例として、営業部に所属する従業員等の個人番号が、源泉徴収票を作成する目的で経理部に提出された場合は「提供」に当たらない。個人番号関係事務の一連のものと解される。
提供に当たる場合の事例として、事業者甲から事業者乙へ特定個人情報が移動する場合は「提供」に当たる。この例では提供にあたり違法となってしまう。
合法な例として、被合併会社の従業員の個人番号を合併会社に引き継ぐことは法律で明示的に可能としている。寄せられた意見のなかでは、グループ会社において人事情報を一括で管理している場合、現在はグループ間の異動があっても一括で管理しているデータベースで人事情報等を参照できているが、番号法の導入によりこのシステム設計を根底から見直す必要が出てくるため困るという意見があった。対応方法はガイドラインに詳しく記載しているが、アクセス制限がされていて今所属している会社のみが、個人番号の記載されたデータベースにアクセスできる状態にしておけば問題ないと整理している。あるいは、人事情報を移行するときにマイナンバーについては前に所属していたグループ会社から本人に通知が来て、本人から今所属している会社にマイナンバーを通知するなど、本人が関与する方法を記載している。また、クラウド上に人事データベースなどを管理している場合は、クラウド提供事業者にマイナンバーを提供したことになるのかという質問もあった。クラウド事業者がマイナンバーにアクセスできる状況であればクラウド事業者に委託した扱いとなる。詳しくは、Q&Aに解釈を記載しているので参照いただきたい。
【開示・訂正・利用停止等】
P.13 開示・訂正・利用停止等の取扱いは、個人情報保護法における取扱いと異なるところはない。特定個人情報を適正に取り扱っていれば、第三者への提供停止を求められる事態は生じない。
【廃棄】
P.14 個人情報保護法にはないコンセプトになる。番号法で限定的に明記された場合を除き、特定個人情報を収集または保管することはできないため、個人番号関係事務の必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄または削除しなければならない。ここでは、特定個人情報全体ではなく個人番号を削除するとしている。「できるだけ速やかに」の記述の時期感は、毎年度末に見直して、保管する必要がなくなった個人番号を廃棄いただくなど、安全性と事務の効率性を勘案して、会社の実態に応じて判断いただきたい。Q&Aに解釈を記載している。
また、廃棄の記録は、会社のリスクをできるだけ避けるためにも残しておくことが望ましい。仮に、何かの事案で特定個人情報が漏洩したときに、会社がきちんと管理していたことを説明できる記録を持つことは重要であろう。
【ガイドラインの見方】
P.15 ガイドラインには「要点」を記載している。管理者はこの部分のみを見ていただければ概要や留意点が分かりやすく理解できるように工夫している。また、番号法特有のルールについてはアンダーラインを付けており、*では具体的事例を用いて解説をしている。
Q&Aについては、企業にも参画いただいた検討会で約300問、パブリックコメントでも約270強の質問や意見をいただいた。この問いを集約して質問が多い部分や重要と思われる点を90程度、掲載しているので、実務担当者は是非参照していただきたい。
5.質疑応答
Q1: 個人番号の取得について2つ質問がある。1つ目は、従業員から取得する時期は2016年1月より前倒しする可能性について。2つ目は、従業員から個人番号をオンラインで受け取るときに、個人番号の真正性の確認方法について。施行規則には紙のコピーで本人確認を行うことが記載されている。
A1:いずれの質問も、法律を所管している内閣官房からお答えすべきものとなるが、回答できる範囲でお答えする。先程、内閣官房の向井内閣審議官から、準備行為ができるように法改正などで検討すると説明があった。2016年1月以前に従業員の個人番号が収集できるように検討が進められているところ。2つ目は、オンラインの場合の本人確認の手法も施行規則に記載されているので、確認いただきたい。
Q2:向井内閣審議官の説明で、源泉徴収票の扶養者の個人番号については従業員が記載すればよく、国民年金第3号被保険者になった場合の配偶者のみ例外とあったが、どのような関係になっているのか。
A2:扶養控除等申告書は従業員が提出する義務があるので、従業員が関係事務実施者となる。国民年金第3号被保険者は従業員ではなく事業主が取得することになっており制度が異なる。
Q2(追加):国民年金第3号被保険者の場合は事業主が関係事務実施者になるので、従業員を介して本人確認をしなければならないのか。また、扶養控除等申告書は従業員が関係事務実施者となるので、従業員本人が家族に個人番号を確認して記載し、会社にはそれを源泉徴収票に記載する義務があると理解して良いか。
A2(追加):国民年金第3号被保険者の場合は、一般的には、従業員が配偶者である第3号被保険者の代理人となり、代理人である従業員から会社に第3号被保険者の個人番号が提供され、会社は代理人に対する本人確認を行うこととなると考えられる。扶養控除等申告書については、前者はその通り。後者は税法上の義務として源泉徴収票に記載する義務が会社にはある。
Q3:2つ質問がある。1つめは、従業員に対して源泉徴収票を配る行為は問題ないと思われるが、退職した年金受給者に源泉徴収票を配らなければならない場合において、郵送するときには、普通郵便で良いのか、それとも書留にすべきなのかなどの規定はあるか。2つめは、従業員が退職後に年金を受け取る場合、退職前にマイナンバーを取得して、予め本人の了解を得たうえで、その情報を企業年金基金に渡す行為は可能か。
A3:1つめは規定していない。2つめは、委託することで、企業年金基金は企業から個人番号を受け取ることは可能。
Q3(追加-1):郵便事故が発生したときの責任は郵便局にあると考えて良いか。
A3(追加-1):一義的にはそのように理解されるが、この場で断言することはできない。
Q3(追加-2):個人番号を取得するときに、将来、年金の支払いに利用することを予め本人に了解を取っておけば問題ないと理解して良いか。
A3(追加-2):将来の年金給付のために、入社時に個人番号を取得するのではなく、退職した後にあらためて企業年金基金から委託を受けて会社が本人から個人番号を取得する、あるいは企業年金基金が直接本人に個人番号を取得するスキームになると考えられる。
Q3(追加-3):本人から予め承諾書を入手しておけば、会社から企業年金基金に一括で情報提供することは可能か。
A3(追加-3):委託のスキームであれば、可能であると解される。