インベントリ管理とは?重要性と課題解決方法を解説
近年パソコンに限らず、スマートデバイスなどが1人1台利用されるようになる機会が増えつつあり、使用状況...
ヤマトシステム開発株式会社
公開日:2024/03/29
最終更新日:2025/07/31
マイナンバーの保管における注意点や、関連する法律やガイドラインについて解説します。
情報漏えいや紛失リスク軽減のために、関連する法律やガイドラインに定められている義務や運用を企業が遵守するには、コストや手間もかかります。セキュリティを担保しつつ業務効率を上げる方法もご紹介や、マイナンバー収集・保管できるサービスを紹介します。
マイナンバーは個人識別のための重要な仕組みであり、企業が従業員やその扶養家族のマイナンバー(個人番号)を保管する際は、マイナンバー法や個人情報保護法などの法律やガイドラインにより義務や保管条件などが定められています。
情報漏えいなどのトラブルを防ぎ、企業の信頼を守るために、社内規程などの策定、安全対策などを厳守して運用していく必要があります。個人情報、情報漏えい、紛失のリスクから守るためにポイントを理解しておきましょう。
一般的な保管方法として、小規模事業者(従業員数が100名以下が目安)では、紙媒体で保管の方がコストを抑え、運用面もシンプルに管理できます。その場合、鍵がかかるキャビネットに保管したり、操作履歴が残る電子錠キャビネットなどでの運用が推奨されます。
中〜大規模事業者では、人事労務システムなどで管理した方が、効率性とセキュリティを重視できます。従業員本人が人事労務システムなどへマイナンバーを直接入力し、本人確認書類(マイナンバーカードの写しなど)もアップロードできるものもあり、物理的な書類が存在しないため、紛失や盗難のリスクを大幅に低減できます。電子データでの保管の際は、アクセス制限やファイルの暗号化、操作ログの情報を保存します。
マイナンバーの保管は、何度も収集する手間を省くため「必要がある限り保管が可能」で、必要がなくなったら廃棄しなくてはなりません。例えば、従業員のマイナンバーは、源泉徴収税などの手続きや、健康保険や雇用保険など社会保険でも利用するため、該当の従業員を雇用している限りは保管し続けることができます。退職した従業員に対しても手続き上必要な場合は保管できます。
マイナンバーのガイドラインでは「保管し続けることができる」と記載され、保管期間を各企業に委ねています。
マイナンバーを適正に管理・保管するためには、社内規程などを策定し、利用範囲や事務取扱担当者を明確にする必要があります。
マイナンバーは利用目的が終了したら、速やかに適切な方法で廃棄する必要があります。また、法的に定められた一定の保管期間が存在する場合もあります。そのため、企業はマイナンバーの使用目的と関連する法規制を理解し、必要な保管期間を守る必要があります。
マイナンバーが記載された書類やファイルは、その利用目的や種類によって法定保存期間が定められているものもあり、以下は一例になります。
| 種類 | 保管期間 |
|---|---|
| 税に関する書類(給与所得者の保険料控除申告書など) | 7年 |
| 雇用保険被保険者に関する書類(資格取得届、離職票など) | 4年 |
| 社会保険に関する書類(健康保険、厚生年金など) | 2年 |
技術を適用することで、マイナンバーの安全性を高めながら保管期間を延長することが可能になる場合があります。マスキングでは個人を特定できないように情報の一部を隠しますが、この処理は元のデータを完全に無害化するものではないため、引き続きセキュリティ対策を講じる必要があります。マスキングが適用されたマイナンバーも、不要になれば適切なタイミングで廃棄します。
社会保障や税金に関する手続きなどでマイナンバー情報が必要になりますが、その保管には大きな負担が発生します。特に、セキュリティの確保と法令遵守のための社内の運用体制構築は、多くの企業が直面する課題です。
まず、マイナンバー情報を安全に保管するためには、高いセキュリティシステムが必要となります。適切な暗号化技術の導入やアクセス管理システムの構築、定期的なセキュリティチェックの実施などが含まれます。しかし、中小企業にとって、これらのシステムを導入・維持することは、コストおよび技術的な面で大きな負担になります。
さらに、法規制の改定に柔軟に対応することも課題の一つです。マイナンバー関連の法律やガイドラインは改定されることがあり、企業はこれらの変更に迅速に適応する必要があります。対応を行わない場合、法的なリスクや信頼の失墜につながります。
マイナンバー情報の廃棄や削除は、個人情報の適切な管理において重要な工程です。廃棄・削除する際は「容易に復元できない状態」にします。どのような手段が復元不可能な手段なのか解説いたします。また、セキュリティを確保しながら実施することも重要です。
紙媒体で収集した場合、情報が識別不可能な状態になるまで細かくシュレッダーで裁断や、溶解処理を行って復元できない状態にします。いつ・誰が・何を廃棄したかを記録する記録簿を作成・保管します。
人事労務システムなどの電子データで収集した場合、単にデータベースからのデータを削除するだけでは不十分です。削除後にデータが復元できないように完全に無効化するため、二重チェックや上書き保存の確認を実施するなど適切な運用を検討する必要があります。
これにより、重要な個人情報が外部に漏えいするリスクを低減できます。外部委託で廃棄・削除する際も、廃棄・削除の証明書の作成など行い記録することも重要です。
マイナンバー情報の廃棄・削除を適切に行い、情報漏えいのリスクに備えましょう。廃棄・削除手順を明確にし、従業員が遵守する体制を整えることが重要です。
個人情報の保護に関する法律(個人情報保護法)第23条に、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定められています。
行政機関・個人情報保護委員会が定めるガイドラインでは、マイナンバーを管理する際に4つの安全管理措置の実施を求めています。マイナンバーという非常に重要な個人情報を、漏えい、滅失、毀損といったさまざまなリスクから守るための具体的な行動指針です。4つの安全管理措置について、具体的な内容を解説いたします。
組織的安全管理措置とは、マイナンバーの取り扱いを管理するために企業や組織がとるべき組織全体の方針や体制を意味します。これには、マイナンバーの取り扱いに関する内部規程の策定、情報管理責任者の指定が含まれます。誰が、どのような条件下で、マイナンバー情報にアクセスできるのかを明確にし、適切な取り扱いが行われるようにすることが重要です。
人的安全管理措置とは、従業員に対してマイナンバーの適切な取り扱いについて周知することや、適切な監督と教育を行わなければならないとしているものです。具体例としては、定期的な研修、マイナンバー情報の取り扱いに関する明確な規則やガイドラインの設定、違反者に対する処罰規定の明確化などがあります。
目的は、マイナンバーを含む個人情報の安全な取り扱いを従業員が適切に理解し、実施する環境を整備することにあります。これにより、個人情報の不正利用や漏えいリスクを低減させ、個人のプライバシー保護とマイナンバーシステムの信頼性の維持を目指します。
物理的安全管理措置とは、マイナンバー情報が印刷された書類や電子データを保存するデバイスなど、物理的な媒体を不正アクセスや盗難、破損から保護するための措置です。書類の保管には鍵付きキャビネットの使用、電子データを保存した媒体はセキュリティが強化された部屋や金庫内に保管するなどが挙げられます。また、不要となった書類やデータは、情報が復元できないように適切に破棄することもこの措置に含まれます。
技術的安全管理措置とは、マイナンバー情報の安全な管理のために、ITシステム面で実施されるセキュリティ対策のことです。これには、アクセス権限の厳格な管理、不正アクセス検知システムの導入、データ暗号化技術の利用などがあります。定期的なセキュリティ監査や、ソフトウェアおよびシステムの更新を適時に行うことも、技術的安全管理措置の一部です。これらの措置により、マイナンバー情報をデジタル環境で安全に管理することができます。
マイナンバーやその他の重要な個人情報の適切な保管・廃棄を怠った場合、重大な問題が発生する可能性があります。その中には、情報の漏えい、不正利用、個人のプライバシー侵害など、個人にとっても企業にとっても深刻な影響をおよぼします。情報が外部に漏れた場合、金融サービスへの不正アクセスや、他人名義での契約などが行われる可能性があります。
企業にとって個人情報の漏えいは信頼の失墜に直結します。顧客や取引先からの信頼を損ねることは、長期的に事業への影響をもたらす可能性があり、取り返しのつかないダメージとなります。
これらのリスクを避けるため、マイナンバーを含む個人情報には安全な保管方法を実施し、廃棄する際は情報が復元されないようにする必要があります。
マイナンバー制度の下で、企業は従業員やその扶養家族などのマイナンバーを適切に管理する法的責任を負います。保管だけに限らず、マイナンバーの収集、廃棄・削除にもセキュリティ対策が必要な業務です。そのため、企業としての責務を果たすために、運用の効率化とセキュリティ向上の両立ができる方法を選ぶことが重要です。
マイナンバーを安全に管理するためのリソースや技術が不足している場合、収集や保管業務を外部の専門業者に委託するという選択肢があります。外部委託を行うことで、社内のセキュリティ管理や運用の負荷を減らすことができます。
マイナンバーを取り扱うための施設や運用により、厳格なセキュリティ対策を施すことができるので、自社での運用より情報漏えいのリスクを低減させる効果が期待できます。
業者選定の工程では、セキュリティ基準や保有している認証の確認、導入実績を確認することが必須です。契約内容はデータの取り扱いや個人情報保護に関する条件を明確にし、定期的な監査やレビューについて明記しましょう。ただし、外部委託で責任が免除されるわけではありません。常にコミュニケーションを取り、委託先の取り組みを適切に監督し、マイナンバーの適切な管理を確実に行うことが重要です。
マイナンバーの適切な保管と廃棄は、企業のセキュリティリスクを抑制する上で注意が必要な工程です。関連する法令やガイドラインに基づく安全管理措置の実施は、情報漏えいや不正アクセスを防ぐために無視することはできません。
組織内の厳格な管理体制の構築、従業員への定期的な教育、物理的安全管理と技術的安全管理措置の施行など全ての対策を講じるには負担がかかります。業務の効率化とセキュリティ向上のために業務を適切な外部業者へ委託することも選択肢として検討されてみてはいかがでしょうか。
近年パソコンに限らず、スマートデバイスなどが1人1台利用されるようになる機会が増えつつあり、使用状況...
プライバシーマークとは、「個人情報の適切な管理体制を整えている」ということを第三者機関によって認証さ...
企業におけるIT資産管理は、現代のビジネス運営において非常に重要な役割を果たしています。企業が保有す...
名刺はビジネスにおいて重要な情報源です。しかし、紙のまま名刺フォルダーや名刺ボックスを使って個人で名...
GIGAスクール構想は、全ての生徒に対して1人1台の端末整備と、高速大容量の通信ネットワークの整備を...