マイナンバー:紛失・漏えい時に行うべきこと(本人)
これまでで、マイナンバーに「なりすまし」や「情報漏えい」などについての【大きな危険】まではないのではないかということを書いてきました。
yokohamabalance.hatenablog.com
とはいえ、「個人番号カード」や「通知カード」を紛失したり、マイナンバー自体が漏えいしてしまったりした場合に、不安になることもあるでしょうし、絶対に害が生じないとまで言いうるものではありません。
そこで、そうした場合にどうするかを書いておきたいと思います。
1 個人番号カード(ICカード)を落とした(紛失した)
やること① カード利用の一時停止:マイナンバーコールセンターに電話
【個人番号カード】には、前にも書いた通りICチップがついていますので、念のため、カードの利用を一時停止してもらった方がよいでしょう。
やること②:警察への遺失物届提出
そして、警察に遺失物届を出しておかれるとよいと思います。住民基本台帳カードなどは、再発行のために警察が届出証明を出してくれていたと思いますので、【個人番号カード】でも同様の取り扱いをしてもらえる余地はあると思います。届け出ておいて無駄になるわけではありませんので。
やること③:市区町村長への届出
紛失した旨を、市町村長に届け出ておきましょう(マイナンバー法17条5項)
やること④:番号変更の申請
念のために個人番号の変更を市区町村に請求してもよいかもしれません(マイナンバー法7条2項)。ただ、変更を認めるかどうかは市区町村の判断によることとに注意してください(「情報の漏えい」に当たるとは言いにくいため、認めてもらえないかもしれません。あくまで念のためになります。)
やること⑤:再発行
その後、再発行を希望する場合には、カードの再発行をお願いしてもよいでしょう。ただ、費用が掛かることに注意してください。
もっとも、再発行をしないままだと、個人番号の提示を求められたときに個人番号付きの住民票を取得することになりますので、より費用が掛かる可能性もあります。
やってもよいこと⑥:信用情報機関へ、そのマイナンバーカードを紛失したことを届け出ること。
下の※印を参照してください。
2 通知カードを落としてしまった。
ICチップはないので、上記1①に相当する「やること」はないですね。
やること①:市町村長への届出
紛失した旨を、市町村長に届け出ておきましょう(マイナンバー法7条6項)
やること②:警察への遺失物届提出
上記1と同じですが、警察に届出ておいてはどうかと思います。通知カードの再発行の際に、警察が届出証明を発行してくれるかはわかりませんが、届け出ておいて無駄になるわけではありませんので。
やること③:番号変更の申請
念のために個人番号の変更を市区町村に申し出てみてもよいかもしれません。変更を認めるかどうかは市区町村の判断によることとは、上記1で触れた通りです。
やること④:再発行
再発行を希望する場合には、カードの再発行をお願いしてもよいでしょう。ただ、費用が掛かることに注意してください。
3 カードは落としていないが、マイナンバーを他人に知られた
マイナンバーは、「自己と同一の世帯に属する者」(法15条、20条)や、雇用主、代理人等に知られることは、ある程度想定されています。ですので、「知られた」だけで何かが起きるわけでもなければ、何かできるわけでもありません。
ただ、「不正に利用される恐れ」が具体的に認められる場合には、番号の変更が認められうるかもしれませんので、市区町村長に申し出てみてもよいでしょう(上記1④参照)。
※ 2018/1/5加筆 『本人申告制度』並びに、裁判等について
やけにこの記事のアクセスが多くなっていたため、こうした事例が多いのかと思って、調べなおしてみました。
すると、【個人信用情報機関が設けている『本人申告制度』を利用してもよいのではないか】と、国民生活センターのホームページに記載があることを見つけましたので、加筆しておきます。
悪用が心配される健康保険証や運転免許証の紛失(相談事例と解決結果)_国民生活センター
なお、この『本人申告制度』というのは、その身分証明書が悪用されて「お金を借りられてしまう」ことを少しでも防ぐために、銀行やクレジットカード会社・貸金業者がお金を人に貸すときに、照会を行うことになっている「信用情報機関」に、身分証明書を紛失した旨などを届けておけるもののようです。
各信用情報機関のサイトは、以下のもののようです。
<消費者金融系>
<クレジットカード系>
<銀行系>
また、裁判例などでこうしたことが端的にわかりやすく争われた例がないかどうか見てみたところ、裁判所のHPで公開はされていませんが、ウエストロー・ジャパン(判例の有料検索システムです。)に収録されていた、平成28年9月16日東京地裁判決でまさに「悪用された」ことを裁判で争い、勝つことができた例がありました。
ただ、この事例も、上記のようなやるべきことをすべてやっていたことや、他の諸事情を証拠で証明できたという、恵まれた事例のようですので、訴訟の見込みについて、一概にいうことはできないのですが…。
マイナンバーは危険なのか(その2:情報漏えいの危険)
お久しぶりです。
年末・年始から、少し自分を見失ったような感じで、気力を無くしてしまっていました。すみません。
以前、マイナンバーの危険性の一つである、「なりすまし」について書いてみましたので、今度は「情報漏えいの恐れ」について書いてみたいと思います。
1 「情報漏えい」とは
「情報漏えい」がニュースに載ることも多くなりましたね。ごく最近の出来事として記憶に残り、法改正等に影響を与えたものとしても,こうしたことがありました。
①年金情報流出事件
日本年金機構の職員の端末に、平成27年5月8日以降コンピュータウイルスメールが大量に届き、職員が開封したことなどによってウイルスに感染し、その後攻撃者が管理者権限を窃取して他の端末に感染を拡大させ、結果としておよそ125万件の個人情報(基礎年金番号、氏名等)が流出した事件
②ベネッセコーポレーションお客様情報漏えい事件
ベネッセがシステム開発・運用を委託していた業務委託先の元社員が、ベネッセのお客様情報(名前、性別、生年月日、住所、電話番号等)を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却した事件。平成26年6月27日に顧客からの問い合わせにより発覚。
ニュースでは当然のこととされるせいか,わざわざ紹介されませんが,情報が漏えいされてしまうと,どういった点で困ることがあるのでしょうか?。
考えてみると、基本的には、この2つだろうと思います。
A:消費者契約や勧誘・詐欺のメール・電話がかかってくる
①の事件では、流出した顧客に対し、詐欺の電話や情報を聞き出そうとする電話がかかってくることがあったようですし、②の事件でも、勧誘の電話等がかかってきたようです。
B:「知られたくないことを知られてしまった」
②の事件では、他の事業者等には明らかにしていない情報をもとに勧誘がされたことが、顧客が問い合わせたきっかけだったと報道で見た気がします。
過去には、エステティックサロンの顧客情報が流出した事件などもありましたし(東京地裁平成19年2月8日判決)、過去ブログに書いたようにDV被害者などにとっては住所そのものが「知られたくない情報」になります。
グーグルマップのストリートビューが訴えられたこともありましたし(請求棄却)、「知られたくない」という欲求は、だんだん強くなっているような気がしますね。
2 マイナンバーの導入で、「情報漏えいの危険がある」とは?
では、どうしてマイナンバー制度の導入に際して、「情報漏えいの危険が高まる」と言う話になるのでしょうか。
マイナンバーは、一人一人違う番号が付くことで、【個人個人を識別できる】ことに最大の特色があります。個人個人の氏名だけですと、同姓同名の人は世間にいらっしゃるでしょうし、養子縁組や婚姻等により変わることもあります。
氏名や住所だけだと「いろいろな役所の持っている情報」「いろいろと役所に提出している情報」を役所同士で突き合わせたときに、同じ人の情報なのかどうかがわからなくなってしまいますが、「同じマイナンバーの人」の情報は「同じ人についての情報」であることがはっきりします。
こうしたマイナンバーの機能から、マイナンバーは、その人についてのたくさんの情報を一つに結びつける【マスターキー情報】といわれることがあります(【マスターキー情報】と言う名前だと、「それさえあれば、どんな情報でも手に入るパスワード」にように誤解されてしまうかもしれませんがそうではありません。)。
そうすると?。
【役所の人は、そのマイナンバーに関するすべての情報を扱うことができるのか】となり、【じゃあ、情報漏えいしたら、全部の情報が漏えいしちゃうじゃないか】
こうした懸念を持つ人がいるのだろうと思います。
3 情報の一元管理と住民基本台帳最高裁判決
まさに、こうしたことを懸念の一つとして起こされたのが、住民基本台帳制度が違憲であり、住民基本台帳から住民票コードを削除せよとして提起された裁判でした。
この裁判で、平成20年 3月 6日最高裁判決は、住民基本台帳制度を合憲としたことに関連する判示で、以下の通り書いており、これは、上記2の【情報漏えいの危険】にも関連してくる要件になります。
「現行法上,本人確認情報の提供が認められている行政事務において取り扱われる個人情報を一元的に管理することができる機関又は主体は存在しないことなどにも照らせば,住基ネットの運用によって原審がいうような具体的な危険が生じているということはできない。」
そのため、この判例が出た後に制度設計されたマイナンバーでは、「情報の一元管理」を避ける方法をとっています。
4 マイナンバー法でのシステム
マイナンバー法19条7項では、法律の別表2に「情報照会者」として定められた行政機関等が、「情報提供者」として定められた行政機関等に対して、同別表に定められた特定個人情報の提供を求めた場合に、情報提供者が【情報提供ネットワークシステムを使用して】当該特定個人情報を提供することができるとしています。
あくまで、情報照会者の職員が提供を求め、情報提供者の職員がこれに応じる必要があるものであって、勝手に情報照会者の職員が他の役所(情報提供者)のコンピューターの情報を検索できるわけではないようです。
そして、この【情報提供ネットワークシステム】で情報提供等を行った場合には、それを記録することが義務付けられ(法23条)、これらの違反には罰則も定められています。
すくなくとも、これを前提とすれば行政機関等の職員が、不必要な個人情報まで見ることや、ひとりの職員があらゆる役所が保管していた個人の情報を持ち出す、といったことは困難なように見えますね。
5 残る課題
あと、気になるのは、「中間サーバー」のネットワーク設定や、セキュリティ等でしょうか。
以下の資料を見ると、この「中間サーバー」というのは、東日本と西日本に1つずつ作られ、各地方公共団体が保有する特定個人情報の「写し」を保管しておく場所(ストレージのようなものでしょうか)と、それぞれの役所ごとで使われている【符号】に対応できるシステムを置いておき、情報の照会があった時に自動的に情報を提供できるシステムのようです。
・個人番号を活用した今後の行政サービスのあり方に関する研究会(第1回)
資料2 マイナンバー制度について
・一般財団法人岐阜県市町村行政情報センター広報誌Net&Line.No147
「社会保障・税番号制度における中間サーバーの概要について」
1①の年金情報流出事件では、インターネットとつながった職員の端末から、同じサブネットに接続している他の端末に感染が広がっています。そうした初歩的なセキュリティは大丈夫なのでしょうが(最低限、ルータかFWなどでセグメントを分けると思いますが)、実際のところどのくらいセキュリティがしっかりしているのか、少し気になりますね。
もっとも、悪用される恐れがあるので、そうしたセキュリティの詳細は明らかにされないのでしょうが…。
ほかには、個人番号カードのICカードにどういった情報をいれておくのか、スキミングされないのかも、少し気になりますね。
上にあげた「個人番号を活用した今後の行政サービスのあり方に関する研究会(第1回)」の「資料2 マイナンバー制度について」の16頁を見ると、ICチップに【秘密鍵】を入れ、「無理に読みだそうとすると、ICチップが壊れる仕組み」とされていますが、どういった技術なのか…。また、秘密鍵以外の、今後利用拡大が検討されているICチップへ入れられるアプリや情報については、大丈夫なのか、やはり気になりますね。
もっとも、これも…、セキュリティ上の理由から、詳しいことは公開されないのだろうと思います。
マイナンバーは危険なのか(その1「なりすまし」の危険)
ご無沙汰していました。
やはり、懸念していた通り、マイナンバーによる詐欺被害なども生じているようです。
マイナンバー制度に便乗した不審な電話等にご注意ください!(注目テーマ)_国民生活センター
こうした詐欺被害の背景には,マイナンバー制度のわかりにくさ・複雑さもあるものの,他方で,いくつかのメディアを通じて世間で言われているマイナンバーの危険性である,「なりすまし」「情報漏えい」に対する不安について、犯罪者に付け込まれてしまっているところもあるように思います。
そのため、あちらこちらで書かれていることですが、マイナンバーの「なりすまし」「情報漏えい」の危険について、まずは「なりすまし」について触れてみたいと思います。
1 「なりすまし」とは
マイナンバーを他人に知られると,「なりすまし」が起きる-これは,【アメリカのSSN】(Social Security Number:社会保障番号)や,【韓国の住民登録番号】でそうした「なりすまし」が起きているといわれていることが,根拠のようです。
たしかに,アメリカの社会保障番号について,企業のコンサルタント部門からの情報ではあるものの、
「米国ではこのようにSSNが幅広く用いられ、またSSNの下4桁を知っていることを本人確認の手段として用いることが広く行われてきたことなどから、SSNを利用した成りすましが大きな問題となった。」
という内容が掲載されています。
みずほ情報総研:日本の番号制度(マイナンバー制度)の概要と国際比較(2/2)
また、韓国においても以下のような文献によれば、なりすましの被害は生じているようです。
「韓国におけるインターネット取引では本人確認手段として住民登録番号を記入させることが慣例となっている。しかし、“他人へのなりすまし”が頻発しており、現在大問題となっている。」
高山憲之「諸外国における社会保障番号制度と税・社会保険料の徴収管理」15頁
他方で、番号制度の導入については、いろいろな国が番号制度を導入しているという話がありましたが、そのなかで、「なりすまし」が大きく言われているのは、アメリカと韓国のようであり、これが国民性の差で片づけられるものではないのであれば、「なりすまし」が【生じる制度】と【生じない制度】があるように見えます。
では、日本のマイナンバー制度では、こうしたアメリカや韓国と同じ「なりすまし」というのは、起こりうるのでしょうか?。
2 本人確認とは?‐「実印」と「お客様番号」
上の各引用の、下線を引いているところを見るとわかるのですが、アメリカと韓国の番号制度の共通点は「本人確認の手段として」として個人番号を使ってしまったところにあります。
これは、いわば【実印】などと同じように「個人番号を知っていれば(あるいはインターネットで記入できれば)、本人が取引を行っていると扱ってよい」(識別)ということを意味していると思われます。
これに対して、日本のマイナンバー制度では、相手が番号を知っていたとしても、別途「写真付きの身分証明書」などによる「本人確認」を要求しています。たとえるなら、同姓同名のお客様が複数いる場合に区別するための、「お客様番号」により近いのかもしれません。
マイナンバー法16条の定めが、これに当たります。
第十六条 個人番号利用事務等実施者は、第十四条第一項の規定により本人から個人番号の提供を受けるときは、当該提供をする者から個人番号カード若しくは通知カード及び当該通知カードに記載された事項がその者に係るものであることを証するものとして主務省令で定める書類の提示を受けること又はこれらに代わるべきその者が本人であることを確認するための措置として政令で定める措置をとらなければならない。
アメリカや韓国のような「なりすまし」が被害につながるためには、「個人番号を知っていれば本人が取引を行っていると扱ってよい」ということを裁判所が認めることが必要になります。なぜなら、業者がそのあと裁判等でお金の支払いなどを請求したとしても、結局裁判所がそれを有効と認めなければ、強制執行等ができないためです。
そして、日本のマイナンバー制度は、①利用目的がそもそも厳格に定められており、現時点では民間事業者(クレジットやサラ金業者等)が本人確認などにこれを使用することは近似されているうえに、②マイナンバー法そのものが上記のとおり、「番号を知っているだけでは不十分で別途本人確認をしなければならない」としていることからすれば、「個人番号を相手が知っていたから、取引相手が本人だと判断した」という業者の言い分に裁判所が耳を傾ける可能性は低いように思われます。
そのため、私自身としては、現時点でのマイナンバー制度で、アメリカや韓国で生じているのと同じような「なりすまし」が起きる危険は、大きくないのではないかと思っています。
3 日本のマイナンバー制度で起きる「なりすまし」?
ただ、そのことは「なりすまし」が決して起こらないということまでは意味していません。
一方的に郵送されてくる【通知カード】では無理ですが、【申請】した場合に交付される「個人番号カード」は、写真がついており【身分証明書】として使用できますので、この個人番号カードを【偽造】等されてしまえば「なりすまし」が起きることもないとは言えません。とはいえ、そのこと自体は、「運転免許証」や「住民基本台帳カード」でも起きた危険と同じであり、マイナンバー制度によって危険が大きくなったという話とは違うと感じています(まさか、行政手続きのたびにDNA鑑定や網膜認証をしてもらうことはできないと思いますから…)。
また、個人番号カードには「ICチップ」がついていますので、このICチップの中にどのような機能を盛り込むかによっては、「なりすまし」の危険なども出てくるのかもしれないと思います。
韓国・アメリカの番号カードには、ICチップなどはついていませんでしたので、こちらの危険は、また別の防止が求められるだろうと感じています。
いま「個人番号カード・公的個人認証サービス等の利活用推進の在り方に関する懇談会」においてこのICチップにどのようなサービスを盛り込むかが議論されているようですが、慎重に議論してほしいな、と思いますね。
なお、個人番号カードを落とすなどした場合、【個人番号そのものの変更】は「情報が漏えいし」「不正に用いられる恐れ」が必要ですが、【個人番号カードの公的個人認証の利用停止】であれば、以下とおり「個人番号カードコールセンター」に電話すれば可能のようです(身分証明書として使用された場合などのために、後から「紛失していたということを証明することとの関係」までコールセンターでできるかはわかりませんね。そこまでコールセンターが対応できない場合には、別途警察への届出等もしておいたほうがいいのかもしれません。私自身、コールセンターの取り組みや、警察側の対応がどうなっているかまでは把握していませんので、はっきりしたことを書けないですね…。)。
Q3-7-3 個人番号カードを紛失した場合にはどうすればいいですか?
A3-7-3 平成28年1月から24時間365日、個人番号カードの一時利用停止を受け付けるコールセンターを開設します。仮に紛失した場合、速やかにコールセンターに連絡いただければ、第三者による成り済まし利用を防止します。(2015年12月回答)
総務省ホームページマイナンバー社会保障・税番号制度FAQより
以下が「個人番号カードコールセンター」の連絡先になります。
4 現状の中で、他に選びうる手段はあったのか。
制度導入から、混乱が続いており、マイナンバーに対する批判の声も聞かれますし、私自身マイナンバー制度に「積極的賛成派」とまでは言えないところを残しています。
他方で、この高齢化社会・不況社会の中では、税収入が減るのに対し、社会保障費が増大してしまうことは避けられないように思っていますので、その増大につながる不正受給を防止する効果も期待でき、また、増税や社会保障費の減額のときにも「より公正に行うためにはどうしたらよいか」を考えていく材料になりうるマイナンバーに対して「反対すればいいわけでもないかな…」という思いを残しています(増税、社会保障費の減額を、積極的に歓迎はしていませんので…^^;。)。
他方で、個人番号カードがより普及するためには、使い勝手を良くしないといけない(その利便性を高めなければならない)のですが、「利益」とつながってしまうとそれが不正に利用されることにつながっていく可能性も否定できず、少しの懸念は持った状態です。
たとえば、日本の戸籍制度は、諸外国と比べても非常に優れた制度ですが、他方で、それが成り立っていた背景には、「戸籍」があまり「利益」と大きな結びつきがなかった(あるとないとでは大違いですが、不正利用するには魅力が足りないのかもしれません。)、という背景もないわけではないだろうと思っており、そうしたところがどうなってしまうのかについて、少しの心配は持っている状態でしょうか…。
少年事件
ご無沙汰しています。
受任している事件以外にも,専門実務研究の論文や マイナンバーセミナーの講師などで時間を取られ,長らくブログを更新していませんでした(年内はなかなか滞ってしまうかもしれません。)。
通勤電車で読書はしており,感じたことを書き留めたいな,と思う本も無いわけではないのですが,これもなかなかブログにまとめて書く心理的余裕がなく…。
そうこうしていた日のことです。
珍しく出席した懇親会で,若手の先生が他の先生に,少年事件の悩みを話しているところに臨席してしまい,ついついその内容に聞き入ってしまいました。
若手の先生が話されている悩みの中には,自分としては,頭の中では答えを出していたつもりだった事柄もありました。
でも,悩みを語るその先生の声に耳を澄ませていると,「ああ,1人の付添人(少年事件の弁護人のことです。)として,いま,僕はこの先生に及ばないな」と感じ,久しぶりに背筋がぞくっとしました。
少年は,接する大人の真と偽を見抜くと思っています。
我々弁護士が付添人として少年と接する場面では,少年は,目の前の弁護士がどれだけ真剣に考えてくれているのか,自分に向き合ってくれているのか,そうしたことを見抜いてくると思っています。
前に少年事件を担当してから少し時間がたったこともあるかもしれませんが,今少年の前に出て行くとすると,眼前で真剣に悩み事を話しているこの若い先生に自分は人間として及んでいない,そういう気がしてしまいましたね…。
また,少し少年事件をやりたいな,と思いました。
マイナンバーを第三者に保管・収集させる場合(企業法務とマイナンバー:こぼれ話)
※ 申し訳ありません。10月19日に一部(ポイント②)を書き直ししています。
ご無沙汰してしまってすみません。このところ、少し立て込んでいたこともあり…。
しかも、久々に書いてみれば、「企業法務とマイナンバー」の「本話」をすっぽかして「こぼれ話」だったり…(本話書くのかなあ…?)。
以下のような、『第三者にマイナンバーの収集・保管を任せる』場合に生じる問題について、考えてみたいと思います。
<事案>
【甲】社は自らその従業員の個人番号を収集せず、税務処理を委託している【乙】税理士事務所に従業員の個人番号の収集・保管を任せている。
この場合に、【丙】社会保険労務士事務所が【甲】社から委託を受けて【甲】社の従業員についての社会保険労務事務を行うに際し、【乙】税理士事務所から個人番号を提供してもらうことができるか。
<結論>
方法によっては可能であるが、注意しておくべき点がある。また、相当程度のリスク(困難さ)は伴うと思われる。
<解説>
方法としては、《方法A》【乙】税理士事務所が個人番号についての税務のみならず社会保険労務も含めて【甲】社から委任を受けて、そのうちの社会保険労務を【丙】社会保険労務事務所に再委託するか、《方法B》【甲】社から【丙】社会保険労務事務所が個人番号の管理等も含めた社会保険労務の委託を受けた上で、個人番号のみ【甲】社の使者としての【乙】会計事務所から提供してもらうか、ということになると思います。
ポイントとしては以下の3点に留意する必要があります。あくまで私見です。
①【甲】社としては、個人番号の収集を含めて【乙】社に仮に委託していたとしても、「個人番号利用事務等実施者」としての責任を免れるものではない。そのため、【甲】社としては、(【乙】社に任せている税だけではなく)「社会保険労務事務での個人番号の扱いを誰に任せ、誰を監督するのか」を明らかにし、番号法に従った委任契約を結ぶ必要がある。
②個人番号の『提供』を受ける場合には,本人確認を行わなければならないため(番号法16条),上記①の方法で個人番号を取得していたとしても,『従業員等が個人番号を記入して提出してくる書類』があれば,それについては本人確認の必要がある。
③責任の所在が不明確にならないようにする必要がある。
という点です。
2 ポイント①(委託契約の結び方)について
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&Aにおいて、以下の通り書かれているとおり、適切に契約で定めれば、【甲】社はみずから従業員の個人番号を取集するのではなく、税や社会保障等の「個人番号関係事務」を委託した委託先にその収集を任せることもできます。
Q3-11委託契約に定めれば、委託先が、委託者の従業員等の特定個人情報を直接収集することはできますか。
A3-11個人番号の収集を委託すれば、委託先が収集することができます。
そのため、設問にある通りに、【甲】社としては、みずから従業員の個人番号を保管することなく、その収集・保管を【乙】税理士事務所に任せることは、一応可能です。
ただし、ここで注意しなければならないことは、直接収集・保管をしていなくても【甲】社は従業員の個人番号関係事務実施者であることは変わらず、【乙】税理士事務所への委託元であるという責任も変わりはありませんので、番号法11条にある通り、【甲】社は【乙】税理士事務所の監督を行わなければなりません。
11条 個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。
そして、11条に、「個人番号利用事務等の全部または一部」とあるように、【甲】社としては個人番号利用事務等のうちの「何を」【乙】税理士事務所に委託するのかを明らかにしなければなりませんので、【乙】税理士事務所が「税務」だけではなく「社会保険労務」も委託を受けていればともかく(《方法A》の場合)、そうでなければ、【乙】税理士事務所が委託を受けていない【甲】社の「社会保険労務」を【丙】社会保険労務士事務所に再委託することはできない(すなわち【丙】社会保険労務士事務所は、原則として【甲】社から直接委託を受ける必要がある。《方法B》)ことになります。
つまり、【丙】社会保険労務士事務所が【甲】社の従業員の個人番号を扱う以上は、それが【甲】⇒【丙】という形の委託(《方法B》)であれ、あるいは、【甲】⇒【乙】⇒【丙】という再委託(《方法A》)であれ、【甲】が直接あるいは間接(甲社の許諾に基づく再委託:法10条)に委託し、【甲】社の直接・間接の監督責任が及ぶ形でなければならないということです。
こうした「必要かつ適切な監督」のために何をしなければならないかについて、個人情報の適正な取扱いに関するガイドライン(事業者編)では、以下のとおり定めていますので、【甲】社としては、《方法B》であれば直接【丙】社会保険労務士事務所との間でこうした要件を満たす契約を締結することになるでしょうし、《方法A》であれば【乙】税理士事務所に税のみならず社会保険労務についてもこうした要件を満たす契約を締結し、かつ、【乙】税理士事務所と【丙】社会保険事務所との間でもこうした要件を満たす契約が締結されることで、【甲】社の監督が間接的に可能な状態を作り出さなければならないことになるでしょう。
B 必要かつ適切な監督
「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれる。
委託先の選定については、委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者(注)に対する監督・教育の状況、その他委託先の経営環境等が挙げられる。
委託契約の締結については、契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。また、これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましい。
そして、《方法A》は、【乙】税理士事務所が社会保険労務士の資格を持っていないとすれば、社会保険労務士法上の問題を生じる可能性はある気がします(ここは詳しくないですが。)。
3 ポイント②(個人番号を事前に入手しても,改めて『個人番号の提供』を受ければ本人確認が必要)について
そして、番号法では,民間事業者は「必要」が有れば従業員に対して個人番号の提供を求めることができるとしながら,他方で,個人番号の提供を受けた場合には本人確認をしなければならない(法25条)という定めになっています。
ここで注意すべきは,社会保険労務で用いる各書式の「作成者(個人番号の記入者)」が誰なのか,という点です。
事業主(及び委託を受けた社会保険労務士)が書式を作成(従業員の個人番号を記入)する書式については,事業主(及び委託を受けた社会保険労務士)は従業員から改めて個人番号の提供を受けなくても,あらかじめ事前に取得した個人番号をそれに転記することができます(個人情報保護法の制限に従う必要があります)。
しかし,従業員や,従業員の扶養親族が作成(個人番号を記入)して事業主(あるいは委託を受けた社会保険労務士)に提出する書面では,原則としてその書面が提出された際に「個人番号の提供」があることになり,番号確認を行う必要が生じます。
健康保険被扶養者(異動)届、国民年金第3号被保険者関係届がこれにあたりますので,これが提出された場合には,その際に本人確認が必要ということになると思います。
(なお,この本人確認の方法について,個人番号利用事務等を第三者に委託している場合に,その本人確認の一部を委託元が行い,他の部分を委託先が行うことができるかどうかなどは明確でないところもあります。)
また、税務・社会保険の書式の中には【従業員本人ではなく扶養親族の個人番号を記載してもらうもの】があるところ,それぞれの法律で「扶養親族」とされるものが異なりますので,税理士事務所が社会保険労務に必要な全ての個人番号を取得しているというわけでもなく,それにも備えることは必要でしょう。
【乙】税理士事務所は、《方法A》のように社会保険についても委託を受けていればともかく、そうでなければ、税務処理に必要な個人番号しか取得できません。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&Aには、以下の記載があります。
Q4-1-2個人番号関係事務実施者である事業者(事業者から個人番号を収集する事務の委託を受けた者を含む。)は、従業員等の家族全員の個人番号を収集することができますか。
A4-1-2個人番号関係事務実施者である事業者(事業者から個人番号を収集する事務の委託を受けた者を含む。)は、個人番号関係事務を処理するために必要がある場合に限って、本人又は他の個人番号関係事務実施者に対して個人番号の提供を求めることができます。
したがって、例えば、家族であっても社会保障や税における扶養親族に該当しない者などは、事業者として個人番号関係事務を処理する必要がないことから、それらの者の個人番号の提供を求めることはできません。(平成27年8月追加)
4 ポイント③(責任の所在)について
そして、【甲】社が、個人番号の収集・保管を他者にゆだねてしまっているということは、逆にいうと、【甲】社のなかで個人番号について責任を持って判断を下せるものがいない可能性を示しています。
たとえば、上記3のように【丙】が従業員の親族の個人番号が必要だといっても、【乙】税理士事務所が持っているじゃないかといったり、従業員への説明や番号確認の手間をまったく負ってくれない可能性はあります。
また、【乙】税理士事務所との間で、安全管理についての責任分界等も含めて紛争になった場合(たとえば、【乙】税理士事務所が、【丙】社会保険労務士事務所に、『必要な』個人番号をキチンと選別し、それ以外は渡さないとすると、かなりの負担になる気がします。)【甲】社が責任者としてきちんと対応してくれるのかという問題も出てくる気もします。
ほかにも、【甲】社が個人情報保護法上の個人情報取扱事業者である場合には、従業員に利用目的の通知を行う必要がありますが、これもきちんと【甲】社がやってくれるのか、あとで紛争になる可能性もないとはいいきれない気がします。社会保険労務士事務所では、従業員に記載してもらうものではなく、社会保険労務士事務所側で記載する個人番号もあるでしょうから、目的の通知・公表は給与所得者の扶養控除等(異動)申告書を従業員に書いてもらう税理士事務所よりも問題が起きやすい気がします。
そして、ある日突然【乙】税理士事務所なり【丙】社会保険労務士事務所と、【甲】社の契約が終わった時、それはきちんと通知されるでしょうか?。【甲】社が個人番号制度を理解していないと、通知がされず、知らない片方がもう片方に個人番号を教えたりして、【個人番号の漏えい】が生じてしまったりしないでしょうか?。
いろいろと、気になる問題点は、ほかにもたくさん出てくる気がしますね…。
※ 10/19 私自身の講義レジュメを見直していて,ポイント②についてかなりの書き落としがあることが分かり,赤字部分を訂正しました。申し訳ありません。
なお,以前のポイント②に書かれていた,「社会保険と税の場合の,扶養親族の違い」に関する記載は,冗長であり以下の「続きを読む」に落としました。
続きを読むマイナンバーと消費者被害・詐欺
以前、タウンニュース港北版の記者さんに聞かれたとき、マイナンバー法の弊害として、①個人を特定する確実な手段ができることによるプライバシー侵害の危険が高まること、②なりすましの恐れがあるかもしれないこと、③マイナンバー法自体の理解が及んでいないことによる詐欺行為や消費者被害等が起きること、と答えたことがありますが…。
消費者庁のホームページ「マイナンバー制度に便乗した不正な勧誘や個人情報の取得にご注意ください!」を見ると、本日付で追記された被害が記載されていますので、早速、そうした詐欺が行われているようです。
公的な相談窓口を名乗る者から電話があり、偽のマイナンバーを教えられた。その後、公的機関に寄付をしたいという別の男性から連絡があり、そのマイナンバーを貸してほしいと言われたので教えた。翌日、「マイナンバーを教えたことは犯罪に 当たる」と寄付を受けたとする機関を名乗る者から言われ、記録を改ざんするため金銭を要求され、現金を渡してしまった。(10月6日追加)
怪しい電話がかかってきたときには、国民生活センターや消費者庁のホームページを確認したり、各ホームページ掲載のコールセンターに電話するなど、冷静に対応するように努めていくほか、ないのではないかと思います…。
ご注意ください。
マイナンバーと裁判:追記
以前、「マイナンバーと裁判」という題で、マイナンバーが記載された源泉徴収票を裁判で証拠として出してよいかについて書きましたが、その後、国税庁のほうで、会社が本人に交付する源泉徴収票には、個人番号を記載しなくてよいこととしてくださったようです(なお、税務署に提出する源泉徴収票には、マイナンバーの記載が必要です。)。以下を参照下さい。
これにともない、「マイナンバーと裁判」で書いた問題点の一つは、相当程度解消に向かった(本人に交付する源泉徴収票に「書いてはいけない」というわけではないようですので、問題が全くなくなるかまではわかりませんが。)ように思われます。
とはいえ、個人情報保護法に基づく開示請求を受けた場合には、個人番号も開示することも可能であるようです。
Q5-2従業員等本人に給与所得の源泉徴収票を交付する場合において、その従業員等本人や扶養親族の個人番号を記載して交付してよいですか。
A5-2本人交付用の給与所得の源泉徴収票については、平成27年10月2日に所得税法施行規則第93条が改正され、その本人及び扶養親族の個人番号を記載しないこととされました。したがって、その本人及び扶養親族の個人番号を記載していない源泉徴収票を本人に交付することとなります。
なお、個人情報保護法第25条に基づき、本人から自身の個人番号を含む情報として源泉徴収票などの開示の求めがあった場合には、本人の個人番号を記載して開示することが可能です。(平成27年10月更新)
特定個人情報の適正な取扱いに関するガイドライン(事業者編)に関するQ&A
念のため、ここに書いておきます。
