SPNの眼

コンプライアンスやリスク管理に関するその時々のホットなテーマを、現場を知る
危機管理専門会社ならではの時流を先取りする鋭い視点から切り込み、提言するコラムです。

~マイナンバー制度と危機管理~(上)(2014.11)

 みなさま、こんにちは。今回の『コラム&レポート』は「SPNの眼~マイナンバーと危機管理」をお届けします。約一年後に迫った2015年10月から通知がはじまる「番号制度(マイナンバー※)」を取り上げ、そのあらましと制度の詳細、危機管理上の留意点について解説します。

 我々国民にとって、これからの生活のさまざまな場面でマイナンバーに接することが増え、生活の一部にマイナンバーが組み込まれます。企業の観点から見ても、その影響は甚大であり、マイナンバーの取扱いを誤ると大きなリスクになる仕組みであるとともに、将来的に企業のさまざまな活動に大きな影響を与える可能性があります。したがって、マイナンバーの特性や利用範囲とそのリスクをあらかじめ認識しておく必要があります。

※2014年2月6日に、内閣府の「マイナンバー」のログマークデザイン作成作業にかかる企画

 競争についての公告等で、「個人番号」に対して「マイナンバー」の呼称を政府が用いてい

 ることから、以後、本レポートでも「マイナンバー」の呼称を使用します。「より親しみや

 すい名称を」との目的で「マイナンバー」という名称が公募により、法律制定以前の2012年

 6月に決定しました。マイナンバーの名称を決めたのは民主党政権のときで、実際に法律がで

 き、制度開始について決定したのは自民党政権になってからです。

1.マイナンバー制度とは?

 マイナンバー制度とは社会保障、税等の各種手続きにおいて、各個人に割り振られた共通の個人番号を利用することでその利便性を高めるというものです。その番号を利用すれば、行政機関や地方公共団体との間での必要な情報共有が可能となります。所得・税・社会保険の加入状況、社会保険やその他行政サービスの受給状況が縦割りではなく、横串で明確になるということです。

 現在、行政機関・自治体等には年金の基礎年金番号、介護保険の被保険者番号、自治体内での事務に利用する宛名番号のように、分野や組織ごとに個人を特定するための番号が存在しています。しかし、異なる分野や組織間で横断的に個人を特定するための番号は無く、異なる分野や組織で管理している個人を同一人として特定することに手間を要しています。

 制度検討の背景として、行政手続きに多数の添付書類が必要になるという不便や、自分の納めた保険料などにふさわしい社会保障がおこなわれているかどうかなど自分の目で確認できない等の問題が指摘され、その根本的原因は、「複数の機関に存在し、かつそれぞれに蓄積される個人の情報が同一人の情報であるということの確認をおこなうための基盤が存在しないこと」にあるとされています。(平成23年1月31日 政府・与党社会保障改革検討本部「社会保障・税に関わる番号制度についての基本方針」。

 そこで複数の機関に存在する個人情報を、同一人の情報であることを確認できるように、国民一人ひとりに「個人番号」と呼ばれる番号を付番し、各分野、各機関で横断的に利用することができる「番号制度」が導入されることとなりました。

 行政機関が、国民一人ひとりに番号を付与して特定の個人を識別する番号制度は、すでに多くの諸外国で、年金、医療、税務分野などで利用され、不可欠な社会インフラとなっていますが、日本でも長きにわたる議論・検討を経て「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」(通称:番号法)が2013年5月末に成立し、2016年のマイナンバーの利用開始に向けて各方面で準備が進められています。

 

      内閣官房「番号制度の概要」マイナンバー制度開始時の利用範囲

マイナンバー利用範囲

2.マイナンバー制度の範囲

 マイナンバーは、まずは税・社会保障分野から利用が始まります。自治体や税務署・健康保険組合等への届出や手続きを行う場合、原則としてマイナンバーもあわせて届け出ることが必要になります。例えば、給与所得者やマイナンバー対応が義務付けられる株式等の金融商品保有者の場合、本人になり代わって、企業や金融機関がこれらの事務をおこなっているので、引き続き手続きをおこなってもらうためには、自分(場合によっては家族の分も)のマイナンバーを伝えておく必要があります。このようにマイナンバーの利用が始まると

   ① 行政への届出、手続きに際し、マイナンバーも一緒に届け出る。

   ② 勤務先および金融機関にマイナンバーを届け出て、事務手続きに使ってもらう。

 ことが必要になります。

 今までこのような事務手続きをおこなう場合は、氏名や住所を届け出ました。氏名や住所を届け出なかった場合、手続きの対象者がわからない等の問題で事務手続きは完了しませんでした。また、仮に氏名や住所を正確に届け出ない場合も同様に、あらためて正確な届出を求められることになります。

 今後は氏名や住所と同様に必須かつ重要な情報としてマイナンバーは扱われることになります。また、企業はそこで働いている従業員に対して、給与を支払っている限り、必ずマイナンバーに関する業務が発生します。全ての企業、全ての部署、全ての従業員がマイアンバーに関する当事者になるということです。

3.マイナンバー運用上の注意点

 「12345679012」のようにマイナンバーそのものは、12桁の数字の羅列です。各桁に意味はなく、また、氏名や顔写真と異なり、マイナンバーが単体で存在しても、それだけでは個人情報かどうかは分かりません。しかし、その数字の羅列は、限定された行政手続きとはいえ、社会保障や税をはじめとする様々な事務で取り扱われ、そのほとんどが他人に知られたくない私的な事柄、すなわちプライバシーに関する情報であるといえます。

 こうした情報は、これまで組織や分野、手続きごとに管理されており、それぞれを結びつけるキー(識別子)はありませんでしたが、マイナンバーと合わせて管理されることで、データマッチング(名寄せ)ができるようになります。マイナンバーは、行政手続の簡素化、効率化に用いることが期待される一方で、プライバシーに関する情報の集約が悪用されるという可能性があるということも認識する必要があるということです。

 なお、マイナンバー制度は、以下のような特徴から、その取扱いを誤ると企業にとって取り返しのつかない大きなリスク要因となり得る可能性があります。マイナンバー制度は、

   ① 対象となる業務や対象者が幅広い。

   ② 厳格な規制があり、細心の注意を払わないと制度で決められたルールを守れない可

     能性がある。

   ③ ルールに違反した場合には非常に重い罰則の可能性がある。

 マイナンバー制度には個人のプライバシーに関わる部分が多く含まれますので、上記の特徴と併せて、従来の様々な規則以上に企業にとって大きなリスク要因を孕んでいると言えるのです。

 別の人間になりすまして税務申告をおこなったり、戸籍や住民票、所得証明書などのプライバシーに関する書類を入手することが、これまでより容易になりかねない危険性もあるのです。

 特に、データベース化されたマイナンバーは、大量でかつ検索が容易になるため、漏えい等がないよう厳重に管理する必要があります。加えて、番号法には、マイナンバーを不正目的で提供(他者が利用できる状態に)した場合などを厳しく罰する条文が組み込まれており、当該行為者だけでなく、事業主に対しても同様の罰則が科せられます。

 その他、ほとんどの民間事業者が関係することになると考えられるのが、源泉徴収票(給与支払報告書)への従業員のマイナンバーの記載です。マイナンバーが利用できるのは、源泉徴収票への記載等の法律が定める業務に限定されており、その他の目的に利用することは禁止されています(本人の同意があっても禁止である)。そのため、マイナンバー制度が開始された際には、マイナンバーをどう管理するか、取扱いできる部署や担当者をどう決定し、制限するか等の社内規定、手続き等の整備が必要になることが考えられます。

 また、これまで個人情報の数が5000人以下で個人情報取扱事業者に該当しなかった事業者も、マイナンバー制度では個人情報取扱事業者と同様の安全管理措置が求められることになります(安全管理措置の規定は個人情報保護法と同様)。

 特に実務面では、人事、給与、会計システムなどの情報システムに個人番号を組み込むなどの対応が必要になります。それらの個人情報保護と情報セキュリティ対策をいかに実施するか、検討する必要があります。システム化していない企業も、番号情報を社内でどう管理するか協議し、適正な対応策を検討し、策定・実施する必要があります。

 今年に入ってからも、相変わらず個人情報漏えい事案が多く発生しています。発生要因が多様化していることもありますが、これらは業種や企業規模、あるいは社内の個人情報管理体制の有無や整備度合い、例えばP(プライバシー)マークの取得などにも関係なく発生しています。そのような実態の上にさらに、企業はいろいろな情報と紐付けが可能な、個人情報中の個人情報ともいえる社員のマイナンバーを管理していかなければならないのです。もし仮にこれが漏えいしたときの社会的影響や当該企業が被るダメージ・脅威は、従来とは比べものにならないくらい甚大なものになる怖れがあるのです。

【予告】

今月から『コラム&レポート』に「情報セキュリティトピックス(仮)」が新しいコンテンツとして加わります。「情報セキュリティトピックス」では、毎月第三週目に「情報セキュリティ」や「IT」にかかるトレンドや事案等、企業危機管理上留意すべき事柄について、タイムリーな情報提供を目的として配信してまいります。 

Back to Top