IT用語集

マイナンバーを企業はどのように管理すればよいのか

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

政府主導で導入された「マイナンバー(個人番号)制度」では、企業も従業員や支払先(個人)のマイナンバーを取り扱う場面があります。ただし、マイナンバーは「特定個人情報」として利用目的や取扱方法が法律・ガイドラインで厳しく定められており、個人情報保護法における一般的な個人情報の運用とは異なる注意が必要です。

本記事では、企業がマイナンバーを取り扱う範囲を整理したうえで、取得から保管・利用・委託・廃棄までを「実務として回る形」に落とし込むポイントを解説します。結論から言うと、重要なのは「扱う範囲を最小化し、担当者と経路を絞り、紙と電子の両方で“抜け道”を潰し、期限が来たら確実に廃棄する」ことです。

「特定個人情報」として厳格な保護措置が必要となるマイナンバー

この章では、マイナンバーが“厳格”に扱われる理由と、個人情報との違いが分かります。

企業の個人情報の取扱いに関する基本ルールは「個人情報の保護に関する法律(個人情報保護法)」です。一方、マイナンバー制度については「行政手続における特定の個人を識別するための番号の利用等に関する法律(いわゆるマイナンバー法)」により、個人番号をその内容に含む個人情報(以下「特定個人情報」といいます。)の利用範囲を限定するなど、より厳格な取扱いが求められています。

実務上の重要点は、「本人の同意があるから何をしてもよい」では済まないことです。個人情報保護法では、本人同意など一定の要件のもとで目的外利用が認められる場面があります。しかしマイナンバー法では、本人の同意があったとしても、法令で認められた例外を除き、特定個人情報を利用目的以外に利用することはできません。マイナンバーを「社員番号」「会員ID」などの用途に転用することも認められていません。

「厳格」とは何が違うのか

マイナンバー管理で“厳格”とされるポイントは、主に次の3点に集約できます。第一に、利用目的が法令で限定され、社内都合での拡張ができないこと。第二に、取扱担当者やアクセス範囲を必要最小限に絞り、紙・電子のどちらでも抜け道が生まれない運用設計が必要なこと。第三に、利用が終われば保管し続けるのではなく、保存期間管理と復元できない廃棄・削除まで含めてライフサイクルで管理することです。

特に企業実務では、「人事・総務・経理にまたがる」「繁忙期だけ触れる」「紙が混じる」「委託が入る」など、例外が起きやすい条件がそろいます。つまり、規程だけ整っていても、運用の穴から漏えい・誤用が起きやすい領域です。だからこそ、規程と現場手順(チェックリスト/承認フロー/保管場所)をセットにして、誰が見ても同じ動きができる状態を作る必要があります。

企業がマイナンバーを取り扱う範囲とは

この章では、自社が“どこまで扱うのか”を法令上の区分で整理し、棚卸しの観点が分かります。

企業がマイナンバーを取り扱う場面は、マイナンバー法上の「個人番号利用事務」と「個人番号関係事務」に整理されます。一般の民間企業が通常行うのは、従業員等のマイナンバーを法定調書や社会保険関係の届出書類に記載して、行政機関等や健康保険組合等に提出する「個人番号関係事務」です。

健康保険組合等を除けば、民間企業が自ら「個人番号利用事務」を行う場面は多くありません。したがって、まずは自社が「どの書類作成・提出のために」「誰のマイナンバーを」「どの期間」取り扱うのかを棚卸しし、取扱範囲を必要最小限に絞ることが重要です。

個人番号関係事務の例

  • 従業員から、マイナンバーを記載した健康保険・雇用保険に関する届出を受ける
  • 従業員から、所得税法の規定に従って、扶養親族のマイナンバーを扶養控除等申告書に記載した書面の提出を受ける
  • 講演料・原稿料等の支払先(個人)からマイナンバーの提供を受け、支払調書に記載して税務署長に提出する

行政機関等や健康保険組合等は、企業から提出された書類等に記載された特定個人情報を用いて、社会保障・税・災害対策に関する法定事務(個人番号利用事務)を行います。企業側は、法令で定められた書類作成・提出という目的の範囲内でのみ、マイナンバーを取り扱います。

「棚卸し」で決めるべき観点

取扱範囲の棚卸しは、単に「扱うか/扱わないか」ではなく、業務フローとして“どこで発生し、誰が触り、いつまで残るか”を明確にする作業です。具体的には、対象者(従業員・扶養親族・退職者・支払先など)、対象手続(年末調整・社会保険・支払調書など)、取得経路(紙・Web・委託先経由など)、保管形態(書庫・共有フォルダ・システムなど)、保存期間と廃棄方法までを一連でつなげて整理します。

この棚卸しが曖昧だと、「必要なときに必要な人が扱う」ではなく、「念のため残しておく」「誰でも見られる場所に置く」が起きやすくなります。特定個人情報の管理では、この“念のため”が最大の事故要因になり得ます。

企業におけるマイナンバー管理のポイント

この章では、運用に落とし込むための4本柱(目的・権限・安全管理・廃棄)を、実務視点で整理できます。

ここからは、企業がマイナンバーを管理するうえで押さえるべきポイントを整理します。結論としては「利用目的の限定」「取扱担当とアクセスの限定」「安全管理措置」「適正な廃棄」の4点を、社内ルールとして運用できる形に落とし込むことが重要です。

マイナンバーの利用範囲は限られている

マイナンバーの利用は、原則として社会保障・税・災害対策に関する法定手続に限定されています。例えば、マイナンバーを社員番号や社内IDとして利用することは、利用目的の逸脱にあたり認められていません。利用場面が広がりやすいほど漏えい・誤用・不正利用のリスクも増えるため、「必要な事務に必要な期間だけ」を徹底しましょう。

「便利だから」は最大の落とし穴

実務では、総務・人事・経理など複数部署をまたぐ情報の突合や、システムのマスタ統一の観点から「番号で統一したい」という発想が生まれがちです。しかしマイナンバーは、社内の識別子として使うこと自体が目的外利用になり得ます。代替として、社内IDは別に発番し、マイナンバーは法定手続に必要な範囲でのみ紐付けて管理するなど、用途の線引きをルールで明確にしておくことが重要です。

マイナンバーの利用目的を明示する

マイナンバーの提供を受ける際は、企業は従業員等に対し利用目的を明確に伝える必要があります。就業規則や社内規程への明記、取得時の案内文(紙・電子)など、後から確認できる形で残すことが実務上も有効です。

また、企業から別の企業にマイナンバーを渡すことは、マイナンバー法で定められた範囲外の提供にあたるため原則できません。グループ会社であっても法人が異なれば、マイナンバーを共有して使い回すことはできません。出向・転籍などがある場合も、企業間でマイナンバーを引き渡すのではなく、本人から必要な範囲で提供を受ける運用が基本です。

委託はできるが「任せっぱなし」はできない

個人番号関係事務を外部に委託することは可能です。その場合でも、委託先がマイナンバー法・ガイドラインに沿って適切に取り扱うことが前提であり、委託元にも監督責任があります。委託契約では、少なくとも次の観点を“条文として”具体化し、実際に点検できる状態にしておきましょう。

  • 再委託の可否と条件(事前承認、再委託先の基準、監査権限)
  • 取扱担当者の限定(範囲、教育、秘密保持、アクセス権)
  • 事故時の連絡(一次報告の期限、報告内容、協力義務)
  • 保管・移送・返却・廃棄(媒体、暗号化、廃棄証跡、返却期限)
  • 点検・監査(監査頻度、ログ提出、現地確認、改善要求)

委託先が「給与計算を代行する」「年末調整を代行する」など業務が丸ごと外に出る場合ほど、委託元は“見えなくなる”リスクを負います。契約と点検(チェックシート・監査記録)をセットにし、担当者が変わっても監督が継続できる形にしておくことが現実的です。

特定個人情報の安全管理のためのセキュリティ対策を行う

マイナンバーは取得して終わりではなく、廃棄・削除するまで適正に管理し続ける必要があります。特定個人情報の安全管理では、技術対策だけでなく、紙運用・人の動き・例外処理まで含めて「抜け道」を潰すことが重要です。

  • アクセス制御:閲覧・入力・出力できる人を必要最小限に限定する
  • 認証強化:多要素認証等の導入を含め、なりすましや不正ログインを防ぐ
  • 暗号化:保管データや持ち出し媒体の暗号化など、窃取時の被害を抑える
  • ログ管理:閲覧・持ち出し・出力等の記録を残し、不正や誤操作の早期検知につなげる
  • 物理対策:保管場所(書類・サーバ等)の施錠、入退室管理、端末の持ち込み制限を行う

加えて、実務として回すには「基本方針」と「取扱規程」を作ったうえで、組織的・人的・物理的・技術的な安全管理措置を、担当者の手順に落とし込む必要があります。たとえば、次のように“運用の言葉”に変換しておくと、現場で迷いが減ります。

  • 組織的:取扱責任者の役割、点検方法、事故時の報告ルート、例外承認の手順
  • 人的:担当者教育の実施頻度、誓約書、離任時のアクセス権廃止・持出物確認
  • 物理的:保管庫の鍵管理、印刷物の回収ルール、作業場所の制限、持出し禁止
  • 技術的:閲覧権限の分離、システム上のマスキング、端末の暗号化、ログの保全

「紙・電子の混在」を前提にルールを作る

総務・人事の現場では、紙の申告書と電子データが混在しやすく、保管場所が分散しがちです。たとえば「紙は鍵付きキャビネットだが、スキャン後のPDFが共有フォルダに残り続ける」「印刷して持ち歩ける」「メール添付で回ってしまう」といった経路が、実務の弱点になりやすいポイントです。保管場所・保管方法・アクセス権限・出力の可否・持ち出し条件・例外時の手順を、業務の言葉で明文化しておきましょう。

具体策としては、次のような“やってはいけない経路”を先に潰すと効果的です。

  • 共有フォルダへの保存(担当者以外が閲覧できる可能性がある)
  • メール添付での送付(転送・誤送信・ログ不備のリスクが高い)
  • 手元保管(机の引き出し、個人PC、個人クラウドなどの属人化)
  • 印刷物の持ち歩き(紛失・置き忘れ・複製の把握困難)

特定個人情報の取扱担当者を明確にする

特定個人情報を取り扱う担当者や取扱部署を明確にし、担当者以外が閲覧・利用できない状態を作ることが基本です。担当者には研修を行い、秘密保持、目的外利用の禁止、持ち出し禁止、事故時の報告手順など、最低限のルールを理解してもらう必要があります。

また、担当から外れた場合にアクセス権が残る運用はリスクになりがちです。人事異動・退職・委託先変更など、権限見直しが発生するイベントをトリガーにして、定期点検とセットで管理しましょう。

「誰が責任者か」を曖昧にしない

担当者を決めても、最終的な責任や承認が曖昧だと、例外処理が積み上がり、ルールが形骸化します。たとえば、マイナンバーの保存期間の判断、廃棄・削除の実施確認、インシデント疑い時のエスカレーションなどは、責任者の役割として明確に定義し、記録が残る運用にしておくと内部統制上も有効です。

「責任者が確認した証跡」を残すだけでも、運用が締まります。例として、廃棄リストへの承認、委託先点検票への押印(または電子承認)、アクセス権棚卸しの完了記録などが挙げられます。

マイナンバーは復元できないように廃棄する

マイナンバーは、利用目的に沿った事務を行う必要がなくなり、かつ法令で保存が求められる期間を過ぎた場合、できるだけ速やかに廃棄・削除することが求められます。廃棄・削除の際は「復元できない」ことがポイントです。

例えば、紙であれば焼却・溶解・復元不可能な水準での裁断(専用シュレッダー等)、電子データであれば専用のデータ削除手段の利用や物理破壊など、復元不可能な方法を採用します。さらに、廃棄・削除を実施したことを責任者が確認し、記録として残す運用にしておくと、内部統制上も有効です。

「保存期間の管理」ができないと廃棄は回らない

廃棄・削除を適切に行うには、前提として「何を、いつから、いつまで保存するか」を運用で管理できている必要があります。年末調整や法定調書、社会保険手続などは、業務の繁忙期に例外処理が起きやすいため、保存期間の起点や保管場所があいまいなまま残存しがちです。保存期間の管理台帳やチェックリストを用意し、「保存期間が過ぎたものが残り続けない」状態を作ることが重要です。

なお、実務では「提出した書類を正しく作成したことを確認するための控えを保管したい」といったニーズが起きます。この場合も、個人番号関係事務の一環として必要な範囲での保管にとどめ、保管場所・閲覧範囲・保管期限・廃棄までをセットで管理することが重要です。「控えの保管」が“いつの間にか恒久保管”になると、目的最小化の原則から外れやすくなります。

実務として回すための最小セット

この章では、規程と運用をつなぐために最低限そろえるべき成果物と、回し方のイメージが分かります。

ここまでの内容を、現場の運用に落とすと「どの書類で、誰が、どこで、どう扱い、いつ消すか」を迷わないようにすることがゴールになります。最小セットとしては、次の5点から始めるのが現実的です。

  • 取扱範囲の棚卸し表(対象者、手続、取得経路、保管場所、保存期限、廃棄方法)
  • 基本方針(目的、責任体制、違反時の対応、問い合わせ窓口)
  • 取扱規程(取得、保管、利用、提供、委託、廃棄、事故時の手順を具体化)
  • チェックリスト(年末調整、支払調書、社会保険などイベント別に用意)
  • 点検の仕組み(アクセス権棚卸し、委託先点検、廃棄実施記録の確認)

この5点がそろうと、「忙しいときに例外が出ても、例外処理の入口が決まる」「担当者が変わっても、見れば回せる」状態に近づきます。逆に、規程だけあってチェックリストや点検がない場合、運用が属人化し、事故の芽が残りやすくなります。

まとめ

マイナンバーは個人にとって極めて重要な情報であり、漏えいや不正利用が起きた場合の影響も大きくなります。企業はマイナンバー法を前提に、利用目的を限定し、取扱範囲を必要最小限に抑え、安全管理措置を運用として定着させることが重要です。

ポイントは、技術対策だけでなく「紙・人・例外処理」を含む業務全体で抜け道を潰すこと、そして保存期間を管理して“残しっぱなし”を防ぐことです。あわせて、個人情報保護委員会が提示するガイドラインも参照しながら、自社の実務に即した管理ルール(棚卸し、規程、チェックリスト、点検)を整備しましょう。

民間企業でもマイナンバーを取り扱う必要がありますか?

はい。従業員や支払先(個人)のマイナンバーを、源泉徴収票や支払調書、社会保険関係の届出などの法定書類に記載して提出するために取り扱う必要があります。

本人の同意があれば、目的外でマイナンバーを利用できますか?

原則できません。マイナンバーは利用目的が法令で厳しく限定されており、本人の同意があっても、認められた例外を除いて目的外利用はできません。

マイナンバーを社員番号や社内IDとして使えますか?

できません。マイナンバーを社内の管理番号に転用することは、利用目的の逸脱にあたり認められていません。

グループ会社間でマイナンバーを共有できますか?

原則できません。法人が異なる場合、企業間でマイナンバーを受け渡すことは、法令で認められた範囲外の提供にあたります。

取得時に利用目的の明示として何をすればよいですか?

就業規則や社内規程への記載、取得時の案内文の提示など、あとから確認できる形で利用目的を明確に示すことが基本です。

マイナンバーの取扱担当者は誰でもよいですか?

よくありません。取扱担当者と取扱部署を明確にし、担当者以外が閲覧や利用できないようにアクセス権限を必要最小限に限定します。

外部の給与計算会社などへ委託することはできますか?

委託自体は可能です。ただし委託先の適正な取扱いを確保することが前提で、委託元にも監督責任があります。契約条件と点検方法まで含めて整備します。

電子データのマイナンバーは、どのように保護すべきですか?

アクセス制御と認証強化、暗号化、ログ管理などを組み合わせ、閲覧や出力、持ち出しの経路を運用として管理することが重要です。

マイナンバーの保存期間が終わったら、どう廃棄すべきですか?

復元できない方法で廃棄や削除を行います。紙なら焼却や溶解、復元不可能な裁断、電子なら専用削除手段や物理破壊などが代表例です。

まず何から整備すれば、実務として回りますか?

利用目的の特定、取扱範囲の最小化、担当者と権限の限定、保管と廃棄の手順、事故時の報告手順を社内規程とチェックリストに落とし込み、定期点検までセットにするのが現実的です。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article