ラクラス
ニュースレター
キタハラコラム
マイナンバーの
リアル
第12回は本筋に戻って、マイナンバーの「保管・廃棄」について説明します。全体像を思い出していただくために、マイナンバーに関係する登場人物と相互の関係を示した図を再掲します(図の詳しい説明は、第3回「企業の役割は何か」をご覧ください)。オレンジの枠に白抜きの文字で示してあるのが、特定個人情報を収集した企業の責任を分類したものです。
これまで「利用」と「提供・収集」について説明してきました。今回は「保管・廃棄」について、次回からは「委託先・再委託先管理」(第13回)、「安全管理措置等」(第14回)、そして第15回に再び情報をアップデートして連載を終了する予定です。安全管理措置等に関しては、システムインテグレータやセキュリティベンダが多くの記事を公開していますので、本稿は具体的な対策については語りません。
しかし、セキュリティツールを導入しただけでは解決に結びつかないことは、本稿の読者であれば既に気付かれているでしょう。今回の「保管・廃棄」を読めば、その思いは確信に変わるはずです。では始めましょう。
保管とは「自己の勢力範囲内に保持すること」と定義されています。企業は、税と社会保障に関連した事務を行うために、個人番号の提供を求め、収集し、保管することができます。つまり、行政機関等が定める帳票に個人番号を記入して、行政機関等に提出するためには、企業は従業員等からあらかじめマイナンバーを収集し安全に保管しておかなければならないということです。
従業員が退職したり、社宅の家主さんとの賃貸借契約を解約したりすることで、企業が税あるいは社会保障に関連する事務を行う必要がなくなったならば、企業はマイナンバーを保管しておく理由がなくなります。
従って、企業はマイナンバーを記載した書類や電磁的記録について、法令において定められている保存期間を経過した時点で、できるだけ速やかに削除するか廃棄しなければなりません。不確定な将来の取引再開時に備えてマイナンバーを保管することは許されません。
「速やかに」というのは、どれくらいの時間軸のことを指すのでしょうか。ガイドラインは「廃棄が必要となってから廃棄作業を行うまでの期間については、毎年度末に廃棄を行う等、個人番号および特定個人情報の保有に係る安全性および事務の効率化等を勘案し、事業者において判断する」と説明しています。企業は、例えば毎年、決まった時期に棚卸しを行い、不要なマイナンバーを削除・廃棄しなければならないということです。
ガイドラインでは、個人番号を削除した場合は削除の記録を保存しなければならないと定めています。そして、「特定個人情報ファイルの種類・名称、責任者・取扱部署、削除・廃棄状況等を記録することが考えられる」と説明した後に、「記録には個人番号自体は含めない」ということまでご丁寧に注意してくれます。そりゃ含めませんよね。
さらにガイドラインでは、個人番号が記載された書類や電磁的記録について、「保存期間経過後における廃棄・削除を前提とした保管体制を取ることが望ましい」とアドバイスしています。わざわざ指摘いただかなくても、「廃棄を前提として保管体制が望ましい」ことは分かっています。問題は「それをどう実現するのか」ということです。ちなみに、この記録の保存期間について定めた法律はないようです。企業が判断しなければなりません。
番号法は、マイナンバーを一定の法則に従って変換したものもまたマイナンバーであると定めています。暗号化とは、それがどれほど強度の高いものであろうと、一定の法則に従って変換する作業であることに変わりはありません。つまり暗号化した数値・記号もまたマイナンバーなのですから、法定保存期間終了とともにこれも廃棄しなければなりません。また、アクセス制御によってマイナンバーに接触できないようにすることも、削除にはならないと定められています。
皆さんが毎年提出する扶養控除等申告書の法定保存期間は、所得税法施行規則に「当該申告書の提出期限の属する年の翌年1月10日の翌日から7年を経過する日まで」と定められています。つまり法律の定めにより、企業はマイナンバーを記載した扶養控除等申告書を7年間保管しなければなりません。
企業はその間、マイナンバーそのものの保管も続けられます。ガイドラインに関するQ&Aには、「所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、支払調書の再作成等の個人番号関係事務を行うために必要があると認められるため、当該書類だけでなく、支払調書を作成するシステム内においても保管することができる」と明記されています。つまり企業は、法定保存期間内はマイナンバーを保管し、帳票の再作成などに利用できるということです。
マイナンバーの実務から言うと、「7年間保管しなければならない」という言い方はネガティブに過ぎるかもしれません。「7年間は利用することが許されているのは便利」という見方もできるからです。例えば、従業員の配偶者が就労により扶養から外れたとしましょう。その後配偶者が退職して再び扶養に入ったとしても、7年以内であればマイナンバーを改めて収集する必要はないのです。スポットで業務を委託している社外の支払先のマイナンバー管理も同じです。
さて、ここからが今回の本論です。前述の通り、法律に従ってマイナンバーを保管・廃棄するためには、一人ひとりのマイナンバーの保管期間を管理しなければなりません。企業はそのための仕組みを作らなければなりません。
正規従業員のマイナンバーであれば、退職した年度の扶養控除等申告書を提出してから7年間保存する業務プロセスを作り上げれば、ほぼ例外なく廃棄は完了するはずです。しかし契約社員やアルバイトであれば、入社のたびに既にマイナンバーを保管してあるかどうかを確認するか、入社のたびにマイナンバーを収集するか、いずれかを選択しなければなりません。
配偶者も同様です。扶養から外れて7年間は、保管してあるマイナンバーを再度利用することができます。扶養に入り直すたびに従業員を経由してマイナンバーを収集し直すといった業務プロセスは、あまり現実的ではないでしょう。
社宅の家主さんのように企業と不動産の賃貸借契約を結んでいるケースにおいては、契約解除から7年後にマイナンバーを廃棄することになります。しかし、社外講師のように契約に連続性がなくスポットで業務を委託しているようなケースにおいては、最後に支払調書を出してから7年後に廃棄するという業務プロセスになります。
その間、支払いが発生するたびに、企業はその支払先のマイナンバーを過去に収集し保管しているかどうかを確認しなければなりません。そして支払調書を発行すれば、廃棄へのタイマーをゼロにリセットし直さなければなりません。
私は思うのですが、マイナンバーの利用目的を確定して明示することも、本人確認に工数をかけることも、必要な規程等のドキュメントを作ることも、保管のための安全管理措置を講じることも、確かに工数のかかる作業です。しかしマイナンバー管理の最大の難関は、「扶養家族を含めて一人ひとりを、期間で管理すること」ではないでしょうか。
廃棄に関する課題はまだあります。言うまでもありませんが、マイナンバーという12桁の数字そのものを、安全管理措置を講じた上で保管し廃棄するという作業は難しいことではありません。クラウドで展開されるマイナンバーお預かりサービスが「無料!」だったところで、これまた驚くほどのことでもありません。しょせん8ビット×12というサイズのデータでしかないのです。
私が考えるマイナンバー管理のもう一つの難関とは、「マイナンバーそのものの保管・廃棄」ではなく、「マイナンバーを記載した帳票の保管と廃棄」にあります。源泉徴収票や支払調書であれば、年度単位にまとまりますから、廃棄は比較的容易なはずです(もっとも、該当する年度の源泉徴収票が入った段ボール箱を7年後に焼却処分するだけでは十分でなく、廃棄の記録を残すことを忘れてはなりません)。
難関は社会保障関連の帳票です。健康保険、厚生年金、雇用保険等のそれぞれに、いくつもの帳票が存在します。年間を通じて発生するという特徴も、毎年1月に集中的に発生する源泉徴収票等の法定調書との大きな違いです。作成された帳票は、発生日順ではなく、個人別にファイルされていることが多いでしょう。もしもそうだとすると、法定保存期間終了後に廃棄する作業は、個人別ファイルから該当書類を抜き出すという、多大な工数を要する作業になるはずです。
もちろん当社は人事BPOの専門業者ですから、提携する社会保険労務士法人とともに、マイナンバーが記載された帳票を作成し保管し廃棄する情報システムと業務プロセスを作り上げています。しかし事業会社が、マイナンバー管理というコストセンター業務のために、そこまでのコストをかけることはできないでしょう。そこで一つアイデアがあります。
行政機関に提出した帳票を保管するとき、マイナンバーあり帳票とマイナンバーなし帳票の2種類のコピーを作っておきます。あり帳票は年度別にファイルして、もう二度と見ることがないつもりで、安全管理措置を施して保管します。時期がくれば廃棄して、廃棄を記録します。そして普段の業務には、これまでと同じようにマイナンバーなし帳票を使えばよいのです。
この方法は、「社内の経理規程で、税務関係書類は10年間保存することが決められている」といったケースにも応用できます。7年経過したらマイナンバーあり帳票を廃棄し、10年経過したらマイナンバーなし帳票を廃棄すればよいのです。この方法で、マイナンバーを記載した帳票の保管・廃棄問題は、ある程度のレベルまで解決すると思うのですが、いかがでしょうか。
今回もまた相当な分量になってきましたので、保管・廃棄に関する説明はここまでとします。次回は、委託先・再委託先管理です。
