マイナンバー制度と小規模企業の負担

外部委託する場合の留意事項
マイナンバーや、マイナンバーを含む特定個人情報の管理（およびそれに付帯する業務システム）を外部の業者に委託することを検討している企業も多いと思う。しかし、その場合は、元のブログ記事にも書いたように、委託する側には委託先の管理義務（特定個人情報の保護措置が適正に講じられていることを管理する義務）がある点に注意が必要だ。
サンリオ、ロート製薬など5社が株主向けサービスを外部業者に委託していたが、その外部委託業者から株主の個人情報が漏洩するという事件が2015年4月に起きている。日経コンピュータの記事によると、この外部委託業者の開発・運用チームは2名の社外開発者を含む6名体制で、内部にセキュリティの専門家はいなかったという。
外部にシステムや業務の一部を委託する場合は、委託先のセキュリティ管理態勢を確認する必要がありそうだ。

中小企業者の特例と言えども
「金融機関を除く一般企業のうち、従業員が100人以下で、保有する個人情報の合計件数が5,000件を超えない、すなわち個人情報取扱事業者ではない中小企業には、簡易な対応が認められている」ことが報じられている。
この「簡易な対応」というのは、主に体制面とシステム面での簡易化である。例えば、大企業の場合にはマイナンバーとひも付けてアクセスできる情報の範囲 や、特定個人情報ファイルを扱うシステムをアクセス制御で限定し、アクセス権はユーザーID/パスワードやICカードなどで識別することを要求している が、中小企業については、特定個人情報を取り扱う機器を特定して担当者を限定したうえで、機器が標準装備するユーザーアカウント制御機能を用いてシステム 取り扱い担当者を限定することが望ましいとしている。
具体的にどうするかということであるが、例えば、マイナンバーを管理するPCとディスク（バックアップ用を含む）は他のシステムから切り離し、出来ればネットからも切り離してスタンドアローンとし、このPCにアクセスできる人も限定する。このような条件のもとで業務運用とシステム運用を設計するのが望ましいと考えられる。
ここで気を付けなければならないのは、中小企業の場合、部分的に運用を簡易化出来るが、本質的なところは大企業と変わらないということである。すなわち、「個人番 号・特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければならない」ことや「従業者に対する 必要かつ適切な監督を行わなければならない」といった点は、中小企業も大企業も変わらない。この点は「中小企業向けはじめてのマイナンバーガイドライン」 にも書かれている。

電子証明書の扱い
現在、個人（または個人事業主）が所得税の確定申告をe-Taxで行うためには電子証明書が必要になる。この電子証明書は住基カード（住民基本台帳カード）のICチップに記録される。
電子証明書に記録されている項目は、氏名、性別、生年月日、住所、電子証明書の有効期限、シリアル番号などである。この電子証明書の有効期限は3年間で、期限満了後も引き続き電子証明書を使いたい場合は、電子証明書の更新手続きが必要になる。
「個人事業主の決算から確定申告まで」のブログ記事でも記載したが、3年ごとに役所に行って電子証明書の更新手続きを行なわなければならない煩わしさが、e-Taxの利用者拡大を阻む原因の一つだと思う。
この電子証明書は、個人番号カードの運用が始まると個人番号カードのICチップに記録される。ここで少々問題になるのが、住基カードに記録した電子証明書の有効期限が残っているケースである。
役所に確認したところ、住基カードの電子証明書を個人番号カードにデータ移行することは出来ないという。
一方で、住基カードは個人番号カードに移行すると報じているメディアもある。電子証明書の有効期限が残っている場合は、住基カードと個人番号カードの両方を持たざるを得ないと思われるのだが・・・。これでは益々e-Taxが面倒になりそうだと思っていたら、e-Taxの方でも電子証明書による認証を止める検討が進んでいるとかいないとか・・・。

マイナンバー制度（社会保障・税番号制度）の運用が始まる2016年1月まであと1年と迫ってきたことから、企業側で必要となる本制度への対応措置に関する記事が増えている。
これらの記事を読んで感じることの１つは、マイナンバー制度への対応が小規模企業にとって大きな負担になる可能性があること、今ひとつは個人情報／プライバシー情報が企業側から漏洩するリスクはそれなりに高いのではないかと危惧されることである。そして、前者と後者の間には相当の因果関係があるように思う。

企業がマイナンバー制度に対応するためには、正規雇用・非正規雇用を問わず、従業員とその家族のマイナンバー情報を収集する必要がある。そして収集したマイナンバー（個人番号）に紐づく従業員・家族の個人情報を厳格に管理することが求められる（特定個人情報の保護措置）。これは小規模企業でも同様である。（小規模事業者は、個人情報保護法の義務の対象外であるが、番号法の義務は規模に関わらず全ての事業者に適用される）
しかしながら小規模企業にとって、個人情報の窃取や漏洩に対処したシステム（ITと業務運用を合わせた仕組み、および規範）を準備することは、相当大きな負担ではないだろうか。
特にアルバイトやパートの出入り（雇用の変動）が大きい場合には、ITを含む業務運用が煩雑になり、管理がルーズになる恐れがある。そうなると情報が漏えいしたり、窃取されるリスクも高まると考えられる。すなわち、政府側のシステムが堅牢だったとしても、企業側のシステムから情報が漏えいするリスクはあると思われる。
マイナンバー制度に対応する行政や省庁のシステムは、情報の漏えいや窃取を予防するために、直接マイナンバー（個人番号：12桁の固有の番号）から関連情報を検索できないようにしたり、関連情報は物理的に分散配置にしたり、といった仕組みを組み込むようである。一方、企業側のシステムについて考えると、中小企業を含む全ての企業がこのような堅牢なシステムを構築するとは考え難い。
このような状況にありながら、中小企業のマイナンバー制度に対する認知は低い状況にある。
例えば、ノークリサーチの調査では、「中堅・中小企業におけるマイナンバー制度への認知や理解度は非常に低く」、「年商5億円以上～50億円未満の中小企業層に対してマイナンバー制度の認知状況を尋ねた結果、内容を理解しており、自社で対応すべき事項も全て把握していると回答した企業は18.0％にとどまる」とのことである。

ここであらためてマイナンバー制度の仕組みと、企業側に要求される対応を概観する。
マイナンバー制度（社会保障・税番号制度）の狙いや概要などは内閣官房のWebページに掲載されている。
ただし、このWebサイトに書かれている内容、例えば狙い（導入趣旨）、は行政側の視点であり、国民視点で見ると納得感が薄い。例えば、マイナンバー制度の導入効果のトップには「より正確な所得把握が可能となり、社会保障や税の給付と負担の公平化が図られる」とある。
しかし会社員の給与は、マイナンバー制度を導入しなくとも、会社が税金や社会保険料を天引きして納付しており、税務署などからはその金額が正確に把握できているはずである。
一方、自営業者などは自己申告（白色申告や青色申告）であるから、費用（損金）計上などが恣意的になる可能性がある。すなわち、マイナンバー制度を導入しようがしまいが、この状況はあまり変わらないと思われる。他にも突っ込みどころはあるが、話が逸れてしまうので止めておく。
マイナンバー制度は、税金や社会保障、災害対策に関わる情報（および将来的にはその他の情報が追加される可能性もある）をマイナンバー（個人番号）で紐づけて管理するものである。
マイナンバーは個人だけでなく法人に対しても発行されるが、ここでは特に個人情報／プライバシー情報の管理が問題になる個人を対象とする。
企業は従業員とその家族のマイナンバー情報を収集し、本人確認を行ったうえで管理しなければならない。本人確認は、なりすまし等の不正を防止するために、番号確認と身元確認を行わなければならない。
すなわち、その番号が本当に正しいものなのか、その番号を提示したのは本当に本人か、を確認しなければならないとされる。
収集したマイナンバー情報は、税務署に提出する法定調書や、労働基準監督署、年金事務所、全国健康保険協会などに提出する書類に記載することになる。具体的な書類の種類は、平成26年秋頃までに公布される予定だ。
これによって行政側のシステムは、マイナンバー（個人番号）と関連する各種情報（住民票、所得税などの税金に関わる情報、年金や社会保険、雇用保険に関わる情報）を限定された範囲ながら、検索できるようになる。
個人番号に紐付られる情報は個人情報であるから、企業側でもこれを適切に管理することが求められる。マイナンバー情報の管理に関するガイドラインは、特定個人情報保護委員会から平成26年秋口を目途に発行されることになっている。企業はこのガイドラインに従ってマイナンバー情報を管理しなければならない。
管理には廃棄も含まれる。個人番号が記載された書類は、法令によって一定期間の保存が義務付けられるが、保存期間を経過した場合は速やかに廃棄／削除しなければならない。削除すべき情報が電子データの場合は復元が出来ないように削除しなければならない。
企業が管理するマイナンバー情報が漏洩するなど、事故が発生した場合、企業は罰せられる場合がある。

このように、マイナンバー情報を運用・管理する仕組み（ITと業務運用、規範）を構築することは、小規模企業にとっては相当にハードルが高い。さらにこの制度に対する中小企業の認知度、理解度が低いことから、今後中小企業向けのサービスが出てくると思われる。
例えば、マイナンバーに対応したパッケージ製品やクラウド環境を提供するビジネス、委託を受けて業務運用の一部を代行するサービス、業務運用やITに関するコンサルティングサービス、などである。
なお、企業がマイナンバーに関わる業務の一部を委託する場合、委託する側にも委託先の管理義務（特定個人情報の保護措置が適正に講じられていることを管理する義務）がある点は注意が必要だ。