マイナンバー関連の書籍・雑誌の点検が10月以降で計6冊になりました(行政による「ガイドライン」などを除く)。11月10日には、京都中小企業家同友会からの案内で、京都弁護士会主催の無料公開セミナー「マイナンバー制度と企業がとるべき個人情報保護」を聴講。行政側による入門講座は今年に入って3回聴きましたが、今回のセミナーは税理士と弁護士がマイナンバーを使う立場からガイダンスを試みたもの。なぜか受講者は少なかったものの、本音ベースの話が多く、内閣府の役人らが説明する入門講座などより格段に分かりやすく、有意義でした。
マイナンバーの通知カードは、市区町村からおおむね月内には簡易書留で各世帯に届く見込み。私は割と凝り性なので、今後も勉強を続け、来年1月の運用開始に備えて実務面での対応を図りながら、制度の表と裏について観察を続けていきたい、と考えています。そこで、当メルマガでも、分かったこと、お伝えしたいことを「マイナンバー覚書」として断続的にご紹介していくこととします。
前もって言うと、制度はまだ運用開始にはなってはいないので、遅ればせながら、とは申しません。むしろ、行政側の措置や解釈は「安全管理」と「使い勝手」の兼ね合いを踏まえて毎月のように変わっており、拙速で進めた準備が結果的にムダまたは「やり過ぎでは」と思いたくなるような事例も耳に入ってくるほどです。
さて、企業が従業員のマイナンバーを集め、来年1月から社会保障と税(および災害時の対応)の行政手続きでマイナンバーを記載する場面が出てくる、という当面の予定はご承知おきと存じます。そのなかで、マイナンバーの運用面でも、従業員100人以下の法人には「対応緩和措置」とでも言うべき「特例」がいくつも予定されています。
開業社労士のクライアントはもっぱら中小企業の経営者で、私もそうした小規模事業者を念頭において当欄を書いています。大企業や、労働者の出入りが目立つ流通・サービス業などでは、ITに強い専門スタッフ、厳重なPC上の安全管理措置、システム開発会社が提供する「マイナンバー完全対応パッケージ」などの導入や外部委託、クラウドサービスなどの可否が検討課題となっているようです。ところが、小規模事業者では、これらの多くが「義務付けなし」または「そこまでする必要なし」とみなされているわけです。
まず、小規模事業者にあっては、マイナンバーを扱ううえでの「基本方針」や「取扱い規程」の策定が不要です(努力義務にとどまります)。また、マイナンバーを収集・利用・保管・廃棄を進めていくうえで必要とされる「4つの安全管理措置」のうち、「組織的安全管理措置」は、経営者を「責任者」と「事務取扱担当」の兼務、または総務あるいは人事担当が「事務取扱担当」になる、という取り決めでOK。「人的安全管理措置」、つまり従業員に対する教育・研修はとりあえず「いずれやっておこう」という構えだけで問題はありません。
問題になる、というか、昨今「システム開発会社などが自分たちのビジネスのために大騒ぎして導入を勧めて」(公開セミナーでの弁護士コメント)いる「物理的安全管理措置」と「技術的安全管理措置」も当座、最小限の対応で十分と思われます。
ここで、公開セミナーの税理士、弁護士らが口を揃えて提案し、私も同様に共感しているのは、小規模事業者にとってマイナンバーはとりあえず「紙媒体にて自前で扱うのが無難」だということです。下手に外部に預けたり、PC内に収め、ネット経由でクラウドに任せたりするのは、毎月、マイナンバーを雇用保険関係などで何十回、何百回と使わざるをえない事業所ならともかく、小規模事業所にとってはむしろリスクが大きく、コストと手間ひまがかかるだけだからです。
運用開始前でよく聞かされるのは、雇用保険や税務申告の手続きなど使う目的を限定し、その旨を説明して目的外には使用しない、預かったマイナンバーは安全に管理し、一定期間後は廃棄する、という厳重な取り扱いです。しかも、マイナンバーは不用意に「見ない」「言わない」「聞かない」「扱わない」という、まるで「禁断の数字」「秘儀で使うタブーの12ケタ」めいた性格を持つ一方、将来的には金融、商取引、医療など広い範囲での活用が意識されています。
私はこの辺り、現時点では、どことなく矛盾しているのでは、と考えていますが、ともあれ当面、マイナンバーは紙媒体に残し(届出用紙への記入は印字ではなく、手書きで可)、手続きの後は鍵のかかるキャビネットか金庫に保管してめったなことでは外に出さない、という方法で必要にして十分ではないか、と考えています。ネットに接続したPCでの管理には予期しない漏出のリスクがある半面、紙媒体での保管なら、外部に漏れ出す危険も小さくなります。
併せてお勧めするのは、マイナンバーを扱った折の日付と使用目的などを「業務日誌」や手製の「マイナンバー取扱い記録簿」などにその都度、記録しておくことです(当然ですが、この記録簿に個々のマイナンバーを書き込んではいけません)。
マイナンバー法では特定個人情報の漏えいなどに重い罰則が課されており、それだけ神経質に扱うべし、という流れになっています。しかし、公正取引委員会のような独立性と権限を有するという「特定個人情報保護委員会」はまだスタッフ数十人規模で、彼らが京都なりの零細な事業者を狙って立ち入り検査して立件する、などという事態は現実的には考えにくい話です。
タカをくくっているように聞こえるかもしれませんが、特定個人情報保護委員会が全国津々浦々で目を光らせ、違反事案を続々と摘発していく、という社会は、ごめんこうむりたいところ。マイナンバー制度は、国民(有権者、納税者、労働者、年金被保険者・受給者、テレビ視聴者、新聞読者、ネットユーザーなど)の側が求めたものではなく、あくまでも行政側の都合で発案され、運用が始まるものだ、という出発点は忘れたくないものだ、考えています。
私が「最小限の消極的な協力」を示唆しているようにみえるのは、これからも制度の運用法自体、どんどん変わっていくだろうから慌てずに対応していった方がいいという「思惑」の半面、マイナンバーを使わされる民間サイドには基本的なところでメリットはない、と考えているからです。