マイナンバーを運用するには、以下の5段階のプロセスが必要です。

1.取得
従業員やその家族、地主／家主など、弁護士・税理士・社労士などの外部専門家からマイナンバーを受け取る段階です。

ここでは2つの課題について考えておかなければなりません。一つはマイナンバーそのものの受け渡しをいかに安全に行うか、もう一つは本人確認をいかに確実に行うかです。

2.保管
取得したマイナンバーは安全に保管することはもちろんですが、無制限に保管が認められているわけではありません。法やガイドラインが課している制限をよく理解したうえで、ルールに沿った運用が必要です。

3.利用
保管と同様、利用についても制限が課せられています。目的外利用や特定個人情報ファイルの作成などについて、どのような制限が課されているか、ルールをよく理解して運用に当たりましょう。

4.提供
提供とは、法人間をまたぐマイナンバーの移動を指します。上に述べた「利用」との違いに特に注意してください。書類を役所へ提出するときなど、これまで以上に注意深い取り扱いが必要になります。

5.廃棄・削除
廃棄・削除はマイナンバー運用において特に注意を要する項目です。マイナンバーを復元不可能な形で消去するために、具体的にどのような方法を採用すれば良いのか、十分に調べて実践するとともに、その証拠を残す必要があります。

マイナンバーを運用する上でAssetView で実現できる対策

では、各段階の運用方法について詳しく見ていくことにしましょう。

マイナンバーへの対応、すなわち社内ルール整備と環境構築が完了したら、いよいよ従業員をはじめとする関係者に対してマイナンバーの提供を求めることになります。要求するにあたっては、まず利用目的等を本人に通知または公表することが必要です。

マイナンバーの要求が認められるのは、法の認める利用範囲内に限られ、また必要がある場合のみとされています。そこで、基本方針を作成するなどして、国税や社会保障関係の手続きのみに利用すること、安全に運用する体制を整えていることなど法令順守を宣言した上で、関係者の協力を仰ぐようにしましょう。なお、複数の利用目的を包括的に明示することは可能ですが、利用目的を後から追加することはできません。対象業務は事前にきちんと洗い出しておくようにしましょう。

なお収集とは、他人のマイナンバーをメモ又は印字することを言い、提示を受けただけでは収集にあたりません。ここで注意したいのは、マイナンバーの取扱担当者を限定し、社内外に明示できるようルールに明記しておくことです。取扱担当者以外の社員がみだりにマイナンバーの提示を求めたりしてはならないことを明文化し、研修などで周知徹底することが望まれます。

また収集の方法についても、マイナンバーが取扱担当者以外の目に触れることのないよう、用紙を封書に収めたり、電子的な手段を用いたりする等、収集の業務フローと手段を検討、整備しておくようにします。

提供を求める時期は、個人番号関係事務が発生した時点が原則です。なお雇用契約を締結した時点など、当該事務の発生が予想できた時点で求めることは可能ですので、採用時の業務フローなども整備しておきましょう。

マイナンバーの取得に際しては、「個人番号の真正性の確認」と「本人の実存性（身元）の確認」の2つが必要とされています。いずれも記録が必要ですので、各種書類のコピーの提出を受けるなどして、確認した内容の履歴を残すようにします。個人番号カードを所持している場合には、マイナンバーの収集と本人確認が一枚で完了します。しかし個人番号カードが普及するまでは、他の身分証明書が必要です。

「個人番号の真正性」については、以下のいずれか一つによって確認します。

• 個人番号カード
• 通知カード
• 個人番号記載の住民票の写し
• 個人番号記載の住民票記載事項証明書

「本人の身元」については、以下のいずれか一つによって確認します。

• 個人番号カード
• 写真付き証明書（運転免許証、住基カード、パスポートなど）
• 上記がない場合は、健康保険証、年金手帳など2点以上の書類の提示

運用の第2段階は、保管です。

具体的な作業としては、提出されたマイナンバーをファイリングして鍵のかかるロッカーに収納したり、さらに人事や給与などのシステムにデータ登録したりといった作業になります。大切なことは、これらの作業を誰が行うのか、マイナンバー取扱担当者を明確にしておくことと、作業履歴を残しておく仕組みを構築しておくことです。企業規模に応じて、紙の台帳のみで管理する、あるいはITを用いる場合など、さまざまな運用形態が想定できます。いずれの場合も、ルールとその運用の記録が不可欠であるという考え方は共通です。さらに運用を継続的に改善するために、記録を定期的に点検できるよう内部監査を実施します。

収集したマイナンバーは、無制限に保管できるわけではなく、法律で明記された事務を行う必要がある場合に限り、継続することができます。

例えば、従業員が雇用契約等の継続的な関係にあるならば、従業員等から提供を受けたマイナンバーは、給与の源泉徴収事務、健康保険・厚生年金保険届出事務等のために、翌年度以降も利用する必要があると認められます。この場合には特定個人情報を継続的に保管できます（従業員等が休職している場合、復職が未定であっても雇用契約が継続していることから、特定個人情報を継続的に保管できます）。しかし短期アルバイトなど、来年以降に雇用する見込みがなく、マイナンバーを利用する必要が認められない場合には、保管し続けてはなりません。

同じように、土地の賃貸契約等、家主や地主と継続的な関係にある場合も、支払調書の作成事務のために継続的に個人番号の利用する必要が認められることから、継続的に保管できます。

さて、源泉徴収票や各種の手続書類などマイナンバーが記載された書類等のうち、所管法令によって一定期間保存が義務付けられているものは、その期間保管することになります（個人番号部分を復元できない程度にマスキング又は削除したうえで、他の情報を保管し続けることは可能です）。

マイナンバーは、個人の情報なので、いずれ廃棄または削除されるものと考え、それを前提とした保管体制やシステム構築を検討しておくことが望ましいとされます。これについては、後述します。

運用の第3段階は「利用」です。事業者がマイナンバーを「利用」するケースとして具体的に想定されるのは、税や社会保障に関する手続書類に従業員等のマイナンバーを記入して、行政機関等や健康保険組合に提出する場合に限られるでしょう。マイナンバーは、その利用にあたっても、取得や保管などと同じく法の定める範囲内でのみ認められます。

マイナンバーは一人ひとりにユニークな番号なので、アイディア次第でいろいろな目的に使えそうです。しかし、例えば社員番号の代わりとして利用するといった利用は、法に認められる目的外利用とみなされ違法となりますので特に注意が必要です。また目的外利用は、たとえ本人の同意があっても認められません。

「取得」の項で述べたように取扱担当者を限定し、容易にアクセスできないようにしておくことは、担当者以外の社員がマイナンバーをうっかり目的外利用してしまうのを防止するうえでも必要な措置と言えます。

運用の第4段階は「提供」です。提供とは、マイナンバーの個人や法人間で移動することを指します。これまでの説明からもおわかりのように、法で認められる目的を外れて求めてはならないのと同様、提供を受けることもしてはなりません。

例えば、親会社と子会社の間で従業員が転籍する場合はどうでしょうか？親会社と子会社は法的には別の法人格ですから、従業員のマイナンバーを提供してはならないのです。転籍先の会社で改めて取得（収集＋本人確認）をやり直し、転籍元の会社ではマイナンバーを確実に廃棄／削除することが求められます。

運用の実務上、「提供」について広く想定されるシーンは、各種書類の「提出」でしょう。作成済みの各種書類を役所等に提出するために社外に持ち出す際には、盗難、紛失、覗き見等のさまざまな脅威を想定することができます。これについては従来に較べて格段に高い安全管理措置を講じなければなりません。

例えば、盗難、紛失を防ぐために、単に封筒に入れて持ち歩くことを禁止し、必ずそれをカバンに収めて持ち運ぶ、複数人で運搬する、寄り道等は禁止するなどの対策が考えられます。また覗き見を防ぐためには、提出は取扱担当者のみが行えるようにするといった対策を講じます。常識的な措置かもしれませんが、それが明文化・ルール化されていない企業はまだまだ多いのが実情です。

マイナンバー運用において最も気を使うべきは第5の「廃棄」の段階です。マイナンバーは個人の番号なので、いずれ必ず不要になる時がきます。事業者は、マイナンバーを不要になるまで安全に保管／利用し、不要になったら速やかに削除・廃棄することを法やガイドラインによって義務付けられています。

廃棄とは、マイナンバーを復元不可能な状態にすることを意味します。容易に復元できるようでは廃棄したとは言えません。例えば、マイナンバーが記載された書類を廃棄する場合には、焼却や溶解等の復元不可能な手段を採用します。シュレッダーを用いることもできますが、絶対に復元できないレベルまで細かく裁断できる製品を選ぶ必要があります。紙ではなく、PCや電子媒体を廃棄する場合、専用のデータ削除ソフトウェアを利用したり、物理的な破壊等によって復元を不可能とする手段を採用します。廃棄したことを第三者にも証明できるよう廃棄証明書を取得することも検討しましょう。

マイナンバーを取り扱うために情報システムを用いる場合、保存期間が経過した後にマイナンバーを削除することを前提としたシステムとして設計／構築することが必要です。例えば保存期間が経過した際には、削除を促す通知が自動的に表示・発信されたり、削除したことを確実に履歴として残せたりといった機能を準備しておきます。

業務委託先の廃棄についても十分な注意に払う必要があります。税理士や社労士など、委託先においても不要なマイナンバーを廃棄したことが確認できるよう、機密保持契約を見直し、再締結しておくとともに、安全管理規定などが整備されているかを具体的な内容をチェックしておきましょう。

以上、取得→保管→利用→提供→廃棄という運用の流れについてみてきました。
マイナンバーは、取得した瞬間から「情報資産」の一つとして確実に認識し、廃棄までのライフサイクルに沿って運用していく必要があります。
情報資産のライフサイクル管理という課題には、AssetView が最適なソリューションです。数多くの情報資産を管理するためには、まず可視化し、棚卸しや監視など処理を自動化できる部分は自動化して効率化を図りましょう。一方で、その履歴を確実に残すことで、内部監査や外部監査などを通じてさらなるセキュリティ対策の向上へとつなげていくことができます。豊富な機能とシンプルな使い勝手を一つのツールで実現できる AssetView はマイナンバー時代にふさわしい情報資産管理ツールといえるでしょう。