平成25年5月、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「マイナンバー法」)が成立し、10月に施行されました。マイナンバーが記載された通知カードは、10月20日頃から概ね11月中に、住民票の住所に簡易書留で届くとされており(10月末日現在)、平成28年1月から、社会保障、税、災害対策の行政手続にマイナンバーが必要になります。
マイナンバーは、住民票を有する全ての方に1人1つの番号を付して、社会保障、税、災害対策の分野で効率的に情報を管理し、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用される制度です。その効果として、①公平・公正な社会の実現(所得や他の行政サービスの受給状況を把握しやすくなるため、適切な徴税を行うとともに生活保護の不正受給・未受給をなくす)、②国民の利便性の向上(添付書類の削減等、行政手続が簡素化され、国民の負担を軽減する)、③行政の効率化(行政機関相互において情報照会を容易にする)の3つが挙げられています。
このように、行政上の利便性の観点から定められた法律ですが、ゴルフ場経営会社等の民間企業も従業員の健康保険等の加入手続を行ったり、従業員の給料から源泉徴収して税金を納めたりしているわけですから、無関係ではありません。
そこで今回は、ゴルフ場経営会社がマイナンバーを取扱う際の注意点を検討します。
マイナンバーの取得
マイナンバーの取得時期については、法定調書等を行政機関等に提出する時までに取得すればよく、必ずしも平成28年1月のマイナンバーの利用開始に合わせて取得する必要はありません。例えば、給与所得の源泉徴収票であれば、平成28年1月の給与支払いから適用され、平成29年1月末までに提出する源泉徴収票からマイナンバーを記載する必要がありますので、それに合わせて取得します。
ゴルフ場ではキャディ等パートやアルバイトの従業員も多いと思いますが、正社員だけでなく、契約社員、パート、アルバイト等、自社が直接給与を支払っている全従業員とその扶養家族の個人番号を取得します。但し、派遣社員については、派遣元が給与厚生業務を行うため、自社での対応は不要です。
また顧問税理士や弁護士、コースアドバイザー、コース管理業者(個人事業主)等に報酬を支払う場合、支払調書にマイナンバーを記載する必要があるため、こうした外部の方からもマイナンバーを取得します。
なお、取引先が法人の場合には、支払調書等に法人番号を記載する必要がありますが、法人番号は個人番号と異なり国税庁の公式サイト上に公表され誰でも利用できるので、万一取引先から番号の開示がなくても、自ら入手することが可能です。
マイナンバーを取得する際は、本人に利用目的を明示するとともに、他人へのなりすましを防止するために厳格な本人確認が必要です。
利用目的は、「個人番号利用事務等を処理するために必要な範囲内」で「できるだけ特定」しなければならないとされていますが(個人情報保護法15条1項)、「源泉徴収票作成事務」や「健康保険・厚生年金保険届出事務」という程度の特定で足りるとされています。
利用目的の通知の方法としては、文書の交付、就業規則への明記、社内LANにおける通知等が挙げられますが、個人情報保護法18条等のガイドライン等に従って、従来から行っている個人情報の取得の際と同様の方法で行うことも考えられます。
そして本人の同意の有無にかかわらず、利用目的の達成に必要な範囲を超えて利用することはできません。このため、源泉徴収のために取得したマイナンバーは源泉徴収に関する事務に必要な限度でのみ利用が可能です。なお、従業員からマイナンバーを取得する際に、源泉徴収や健康保険の手続き等、マイナンバーを利用する事務・利用目的を包括的に明示して取得し、利用することは差し支えありません。但し利用目的を後から追加することはできません。
もし従業員等がマイナンバーの提供を拒んだ場合には、社会保障や税の決められた書類にマイナンバーを記載することは法令で定められた義務であることを説明し、提供を求めます。それでも提供を受けられないときは、国税庁や厚労省等書類の提出先の機関の指示に従って下さい。
なお、マイナンバーは、法律や条例で定められた社会保障、税、災害対策の手続き以外で利用することはできません。これらの手続きに必要な場合を除き、民間事業者が従業員や顧客等にマイナンバーの提供を求めたり、マイナンバーを含む個人情報を収集し、保管したりすることもできません。
法律や条例で定められた手続き以外の事務でも、個人番号カードを身分証明書として顧客の本人確認を行うことができますが、その場合は、個人番号カードの裏面に記載されたマイナンバーを書き写したり、コピーを取ったりすることはできません。
これらの場合、偽り等の不正手段が認められれば罰則(後述)が科せられる可能性もあります。
本人確認
マイナンバーを取得する際は、㋐正しい番号であることの確認(番号確認)と㋑現に手続きを行っている者が番号の正しい持ち主であることの確認(身元確認)が必要です。原則として、①個人番号カード(=マイナンバーが記載された顔写真付のカード。番号確認と身元確認)、 ②通知カード(=住民のひとりひとりに個人番号を通知するもの。番号確認)と運転免許証等(身元確認)、 ③個人番号の記載された住民票の写し等(番号確認)と運転免許証等(身元確認) のいずれかの方法で確認する必要があります。
但し、これらの方法が困難な場合は、過去に本人確認を行って作成したファイルで番号確認を行うこと等も認められます。また、雇用関係にあること等から本人に相違ないことが明らかに判断できるとマイナンバー利用事務実施者が認めるときは身元確認を不要とすることも認められます。さらに、対面だけでなく、郵送、オンライン、電話によりマイナンバーを取得する場合にも、同様に番号確認と身元確認が必要となります(電話の場合には本人しか知り得ない事項の申告等で身元確認)。
利用・安全管理
マイナンバーを取り扱う際は、その漏えい、滅失、毀損を防止する等、マイナンバーの適切な管理のために必要な措置を講じなければなりません。個人情報一般の場合と異なり、個人番号に関しては全ての企業が安全管理義務を負うことになります。具体的な措置については、特定個人情報保護委員会からガイドラインが示されています(特定個人情報=マイナンバーをその内容に含む個人情報)。その概要は以下のとおりです。
①事業者各自において取扱いに関する基本方針・基本規定の策定
②特定個人情報ファイルの取扱状況を確認するための手段整備(組織的安全管理措置)
③特定個人情報等の管理区域・取扱区域を明確にし、電子媒体等の盗難防止の措置等を行う(物理的安全管理措置)
④事務取扱担当者の監督・教育(人的安全管理措置)
⑤アクセス権者の限定・アクセス時の識別と認証、外部からの不正アクセス防止等の措置(技術的安全管理措置)
但し、中小規模事業者(従業員の数が100名以下の事業者であって、一定の要件を満たすもの)の場合、講ずべき安全管理措置の体制を簡易化するという特例を設けることにより、実務への影響を配慮しています。
このように、マイナンバーの取得に先立って、利用しているシステムや帳票類などのフォーマットを変更し、番号の取得と保管に関するセキュリティ対策を行い、マイナンバーの取扱いに関する社員教育を徹底する等、各社の状況に応じた適切な安全管理体制を構築することが必要不可欠となります。
なお、マイナンバーが漏えいして不正に用いられるおそれがあるときは、マイナンバーの変更が認められます。そのため、マイナンバーが変更されたときは事業者に申告するように従業員等に周知しておくとともに、一定の期間ごとにマイナンバーの変更がないか確認することが考えられます。毎年の扶養控除等申告書等、マイナンバーの提供を受ける機会は定期的にあると考えられるので、その際に変更の有無を従業員等に確認することもできるでしょう。
罰則について
特定個人情報を不適正に取り扱った場合には、特定個人情報保護委員会から指導・助言や勧告・命令を受ける場合があるほか、正当な理由がないのに、個人の秘密が記録された特定個人情報ファイル(マイナンバーをその内容に含む個人情報ファイル)を提供した場合等には、処罰の対象となります。
例えば、㋐正当な理由なく特定個人情報ファイルを提供した場合には、4年以下の懲役か200万円以下の罰金又はこれらの併科、㋑不正利益目的で個人番号を提供・盗用した場合には、3年以下の懲役か150万円以下の罰金又はこれらの併科、㋒人を欺く、暴行、施設への侵入等不正行為で個人番号を取得した場合には3年以下の懲役又は150万円以下の罰金、㋓偽り等の不正手段により個人番号カードを取得した場合には6ヶ月以下の懲役又は50万円以下の罰金等の罰則が規定されています。
このようにマイナンバーに関する罰則は、個人情報保護法等他の関係法律の罰則よりも厳しいものとなっており、実際に違反を行った者だけでなく、法人も罰するいわゆる両罰規定が定められています。
一方、これらの罰則は故意犯を対象としているので、サイバー攻撃等で情報が漏れた場合等、過失による情報漏えいの場合には罰則は課せられません。但し、漏えいの様態によっては、特定個人情報保護委員会から改善を命令される場合があり、それに従わない場合、罰則はありえます。なお過失の場合でも、民事上の損害賠償請求をされる可能性はありますので、適切な安全管理体制の構築が必要となります。
委託や再委託
マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。また、委託を受けた者は、委託を行った者の許諾を受けた場合に限り、その業務の全部又は一部を再委託することができます。
委託や再委託を行った場合は、個人情報の安全管理が図られるように、委託や再委託を受けた者に対する必要かつ適切な監督を行わなければなりません。委託や再委託を受けた者には、委託を行った者と同様にマイナンバーを適切に取り扱う義務が生じます。
マイナンバーの廃棄
個人番号関係事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければなりません。
例えば、扶養控除等申告書の法定保存期間は7年ですが、この期間を経過した場合には、マイナンバーを復元できない手段でできるだけ速やかに廃棄又は削除しなければなりません。或いは、マイナンバー部分を復元できないようにマスキングまたは削除した上で、当該書類の保管を続けるという方法もあります。
なお、廃棄が必要となってから廃棄作業を行うまでの期間については、安全性と事務の効率性等を勘案し、毎年度末に廃棄を行う等事業者において判断すればよいとされています。
廃棄や削除の具体的な方法についても、実務の手順として決めておきます。削除・廃棄の記録を保存する必要もあります。廃棄等の作業を委託する場合には、委託先が確実に削除・廃棄したことについて、証明書等により確認することも必要です。
「ゴルフ場セミナー」2015年12月号掲載
熊谷綜合法律事務所 弁護士 熊谷 信太郎)