ITシステムの対応は?
- マイナンバー制度の開始によって企業のITシステムは、どのような変更が必要になってくるのでしょうか。
-
平成28年分以降の支払いについての法定調書の様式イメージなどが国税庁のホームページに掲載されています。すべて支払先、支払者のマイナンバー(個人番号)、あるいは法人番号を必ず記載する形式になっています。「ガイドライン」に準拠して、特定個人情報ファイルの安全性を確かなものにしましょう。
【1】ITシステム対応にあたっての注意点
- (1)ガイドラインに準拠したシステムに変更
-
社会保険関係の管理・書類作成のために多くの企業では、給与計算システムや人事管理システムを導入していると思いますが、これらについても平成28年1月からは番号法に対応させる必要があります。マイナンバーなどを記載した番号法対応の書類が作成できることは当然ですが、「ガイドライン」の安全管理措置に対応したシステムであることが必要です。たとえば、源泉徴収票を税務署等に提出する場合はマイナンバーの記載が必須ですが、銀行が住宅ローンの借入時の所得証明として受け取るときは、マイナンバーがマスキングされているものしか受け取ってはならないとされています。また、書類をプリントアウトするときにマイナンバー等を印字するかどうかを選択でき、誰が印刷したのかが後からわかるようにしていることが最低限必要になります。
- (2)紙の記録ではなくシステムで対応
- 一般企業であっても、従業員に関係する書類以外に配当金に関する法定調書(株主)、家賃・地代の支払いに関する法定調書、報酬等の支払いに関する法定調書などの作成のために、マイナンバーを収集し、書類に記載する必要があります。
これらのマイナンバーの管理について、従来の紙の記録では「ガイドライン」の要求する安全管理措置に対応できない可能性があるので、システムで対応しましょう。
- (3)特定個人情報の保護措置
-
特定個人情報の保護措置は、1.特定個人情報の利用制限、2.特定個人情報の安全管理措置等、3.特定個人情報の提供制限等――の3つに区分されます。
1.特定個人情報の利用制限
マイナンバーは、番号法で特定された利用目的(社会保障・税・災害対策)のみ、利用することができます。法定された目的以外には、原則としてマイナンバーを利用できません。必要な範囲を超えた特定個人情報ファイルの作成も禁止されています。
2.特定個人情報の安全管理措置等
マイナンバーの漏えい、滅失、毀損を防止するために必要な措置をとることが必要です。
3.特定個人情報の提供制限等
特定個人情報の提供を受けることが認められている場合以外は、マイナンバーの提供を求めてはならず、マイナンバーを収集し、保管することも認められません。
- (4)分散処理を考慮したシステム対応
-
上記の1.特定個人情報の利用制限、2.特定個人情報の安全管理措置等、3.特定個人情報の提供制限等に加え、分散処理(マイナンバー制度全体のシステムでの前提)を考慮したシステムを考えてみます。
- 1.システムを利用できる人間を制限し、誰がいつどのような形で入出力をしたかを記録しておくために、ユーザID・パスワードによる認証とメニュー等の権限設定とログの保存ができるシステムであること。
- 2.特定個人情報ファイルを参照・出力するメニューと、参照・出力しないメニューが区別されていること。
- 3.特定個人情報そのものは暗号化した上で保存するシステムであること。
- 4.マイナンバーまたは特定個人情報を復元不可能なかたちで削除できる機能を有していること。
- 5.個人情報ファイルの出力が強く制限されたシステムであること。
- 6.企業は個人番号利用事務実施者ではないため、マイナンバーによる名寄せは不要です。そのため、従業員が株主であっても1つの特定個人情報ファイルに従業員であること、株主であることを記録する必要はありません。
