ガイドライン

マイナンバーの利用範囲は、社会保障・税・災害対策に限定されていますので、社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限り、本人などにマイナンバーの提供を求めることが可能です。

例えば、マイナンバーを社員番号や顧客管理番号として使用することはできません。また、法律で限定的に認められた場合を除き、マイナンバーの提供を求めることはできません。

提供を求める時期は、当該事務の発生時点が原則ですが、契約の締結時など、当該事務の発生が予想できた時点で求めることは可能と解されます。

収集に関しても、法律で限定的に認められた場合を除き、特定個人情報を収集できません。

他人のマイナンバーをメモすること、プリントアウトすること、コピーを取ることは「収集」に当たります。一方、マイナンバーの提示を受けただけでは「収集」には当たりません。

手続書類の作成事務を委託する場合、委託先で、委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行わなければなりません。

具体的には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握の３点が必要となります。

委託者は、委託先に対する監督だけではなく、再委託先以降に対しても同様に間接的に監督義務を負います。

事業者は、マイナンバーや特定個人情報の漏えい・滅失・毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりませんし、従業者に対する必要かつ適切な監督を行わなければなりません。

特定個人情報等の取扱いに当たっては、マイナンバーを取り扱う事務の範囲を明確化することが重要です。 事業者が講ずべき安全管理措置の内容として、ガイドラインでは、基本方針の策定、取扱規程等の策定、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を示しています

「基本方針」では、特定個人情報の保護に関する基本理念を明確にし、法令遵守・安全管理・問合せ・苦情相談等に関する方針を定めることが重要です。

「取扱規程等」とは、源泉徴収票や支払調書の作成等の事務で特定個人情報等を取扱う場合のマニュアルや事務フローなどの手順を示した文書で、従業員が容易に参照できるようにする必要があります。

「組織的」な措置とは、担当者を明確にして、担当者以外が特定個人情報等を取り扱うことが無いような仕組みを構築することです。

「人的」な措置とは、従業員の監督・教育です。

「物理的」な措置とは、特定個人情報等の漏えい・盗難等を防ぐ措置で、担当者以外が特定個人情報等を取り扱うことができないような工夫を行うことを指します。具体的には、壁又は間仕切り等の設置、のぞき見されない場所等の座席配置の工夫や、鍵付きのキャビネットに書類を保管することなどが考えられます。

「技術的」な措置とは、担当者を限定するためのアクセス制御を行うことや、ウィルス対策ソフトウェア等を導入し、 新の状態にアップデートしておくことなどを指します。

マイナンバーをその内容に含む個人情報である特定個人情報は、法律で限定的に明記された場合を除き、保管してはならないとされており、法律で限定的に明記された事務を行う必要がある場合に限り、保管し続けることができます。

マイナンバーが記載された書類等のうち所管法令によって一定期間保存が義務付けられているものは、その期間保管することとなります。

法律で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、社会保障及び税に関する手続書類の作成事務を行う必要がなくなった場合で、所管法令で定められた保存期間を経過した場合、マイナンバーをできるだけ速やかに廃棄又は削除しなければなりません。

マイナンバーの部分を復元できない程度にマスキング又は削除した上で他の情報の保管を継続することは可能です。

マイナンバーの保管（廃棄）には制限があり、廃棄又は削除を前提として、紙の書類であれば廃棄が容易になるように年限別に管理することなどや、システムであれば、不要となったマイナンバーを削除するための仕組みを構築することなどが望ましいと考えられます。