マイナンバーへの対応を急げ！（第3回） 社労士が解説！マイナンバー、企業はここに注意せよ

　2016年1月から税・社会保障・災害対策におけるマイナンバー制度の運用が開始されます。日本に住民票を有するすべての者（外国人も含む）を対象に、各自12ケタの番号が振られ個人を特定できるようになります。この制度の導入により、税と社会保障の公平性が実現され、行政手続きの簡素化やコストの削減など、行政の効率化の効果も期待されています。

　個人情報の漏洩などが問題になっていますが、マイナンバーは番号法という法律で定められている大切な個人情報です。したがって、マイナンバー制度の運用開始に当たっては、従業員のマイナンバーを預かる企業側にも厳格な管理が求められます。

　企業は、税務・社会保障に関する手続きを行う上で各種書類にマイナンバーの記載が義務付けられてくるため、雇用している従業員のマイナンバーを取得しなくてはなりません。ですがその際、保管・取り扱いなどにおいて厳重な安全管理措置が求められます。この管理措置は従業員の入社から退職、さらに退職後も法で定められている一定の保管期間を経過後、復元不可能な状態での廃棄というところまで継続します。

マイナンバー漏洩で企業が負うリスク

　マイナンバーに関する情報漏洩による損害は計り知れず、取り返しがつかないことになる可能性があります。マイナンバーを漏洩・流出した場合に企業が負うリスクとしては、以下のことが考えられます。

（1）民事損害賠償責任
（2）不正行為による情報漏洩等を行ったマイナンバー取り扱い業務に従事していた従業員への刑事罰
（3）上記（2）の従業員を雇用している企業に対する罰金刑
（4）特定個人情報保護委員会による勧告・指導
（5）企業名の公表
（6）企業としての社会的評価・信用の失墜による損害

　この中で、（1）の賠償額（慰謝料等）についていえば、これまでの個人情報漏洩事件では、おおむね1件当たり1万5000円程度が相場といわれています。ですがマイナンバーに関しては、特に個人所得や社会保障、健康に関する情報が紐付けされているだけに、これまでの相場をはるかに超える賠償額が課せられる可能性もあると推測します。

　また（2）の刑事罰については、不正を行った従業員に対して、最高刑が懲役4年以下となっていますが、懲役刑が3年を超える場合は執行猶予がつきません。そのため悪質な事件となれば、執行猶予なしで実刑もあり得ます。一方で企業側には懲役刑はないものの、両罰規定で罰金刑が科されます。それだけマイナンバーは、企業に対して厳重かつ高度な安全管理を求められる情報だということが分かります。

　そして何より企業がダメージを受けるのは、（6）の社会的評価・信用の失墜による企業のイメージダウンでしょう。情報漏洩事故が発生してしまうと、企業は経済的損失だけではなく、信頼やブランドイメージにまで影響が及びます。さらに、企業として情報資産の管理方法も問われることになります。

　こうしたさまざまな重いリスクを企業は負うことになるので、企業規模の大小・業種業態にかかわらず、企業側はマイナンバー制度が求める安全管理措置の対策を講じておかなくてはなりません。

企業が取り組むべき安全管理措置

　まずマイナンバー制度が求める安全管理措置を企業が行うには、基本方針と取扱規程を定めて、その上で組織的・人的・物理的・技術的安全管理措置を講じていかなければなりません。基本方針を定めるに当たっては、「情報は漏洩するもの」という認識に立った上で、各種安全管理措置を講じる必要があります。

　しかし、すべての企業に同列の安全管理措置を求めるのは現実的ではないため、従業員数100人以下の企業を中小規模事業者として、安全管理措置の要求水準を一部緩和しています。とはいえ、高度な安全管理措置を求められているということは、どの企業でも共通事項です。

　これらの安全管理措置について要求される内容を、各企業の実情を踏まえた上で、運用や管理をスムーズに行えるように、企業はそれぞれ、特定個人情報等の取り扱いルールを定めることになります。特にマイナンバーに関してどの部署が取り扱うのか、誰が責任者で、誰を取扱担当者とするのか、マイナンバー収集開始の10月までには、きちんと決めておかなければなりません。

　ただし、制度が求める安全管理措置をすべて講じたとしても、100％安全とは言えないし、漏洩などの事故が起きないとは断言できないでしょう。しかしながら、番号法やガイドラインに沿った制度を構築し、しっかりとした体制を整えておけば、有事の際にも裁判所の判断として企業側の過失が否定、もしくは最小限に抑えられることにつながるといった考えに立つべきでしょう。

　また、取扱規程以外でも、取扱担当者の教育や一般従業員向けの研修なども必要になってくるし、メールの取り扱いや不正アクセス防止などの物理的・技術的安全管理措置、それに伴うマニュアル作成など対策・準備は多岐にわたります。

　したがって対策・準備に十分な時間もなく、マイナンバー対策のどこから手をつけたものかいまだ模索中の企業は、包括的な対策を提案できる専門家（例えば、社会保険労務士など）に相談してみるのも一つの方法でしょう。

求められるのは強固な企業体質

　最後にマイナンバー制度の今後の活用について少し触れておきます。マイナンバー制度は、現在、税務・社会保障・災害対策の3分野に利用目的が限定されていますが、今後は医療分野への利用拡大が予定されています。このことは、医療費の無駄遣いの抑制や適切な医療サービスの提供に寄与するといわれています。一方で、マイナンバーが社会に浸透してくると、従来縦割りだった行政上の管理が横断的に行われるようになっていくと考えられます。

　企業の人事労務管理の専門家である、我々社会保険労務士の分野でいえば、マイナンバーによる従業員の所得状況について年金事務所が把握することにより、社会保険未加入事業所に対する調査アプローチが、厳しくなってくると考えられます。また、事業所の未加入のみならず、加入対象従業員の適正加入（加入基準に該当するパートタイマー等）や適正保険料の納付なども是正強化されるものと思われます。

　ですから今後企業がすべきは、マイナンバー制度導入による安全管理対策の体制づくりのみにとどまりません。企業規模にかかわらず、コンプライアンス重視の人事労務管理と、それに耐え得る経営基盤の強化が求められるようになるのは間違いないでしょう。