社労士ステーション

クラウドサービスに強い社会保険労務士の検索、相談ができるプラットフォーム「社労士STATION」

社労士をお探しの方 会員登録 / ログイン
TOP > 社労士事務所の選び方 > マイナンバー×社労士×クラウドシステム

クラウドサービスに強い社会保険労務士の検索、
相談ができるプラットフォーム「社労士STATION」

社労士をお探しの方 会員登録 / ログイン

マイナンバー×社労士×クラウドシステム

マイナンバー制度の本格運用(2016年)から、5年以上が経ちました。そもそも、マイナンバーとは、「住民票を有する全ての方に1人1つの番号をお知らせして、行政の効率化、国民の利便性を高める制度」です。

※参考 総務省 マイナンバー制度 https://www.soumu.go.jp/kojinbango_card/01.html

マイナンバーは、年金・雇用保険・各種税金・源泉徴収作成など、労務業務にも大いに関わっていることは、皆さんもよくご存知かと思います。

【マイナンバー用途の例】

  • 源泉徴収票の作成手続
  • 報酬等に係る支払調書の作成
  • 健康保険・厚生年金・雇用保険の手続
  • 雇用保険被保険者資格取得届等の作成
  • 健康保険・厚生年金保険被保険者資格取得届等の作成、その他
  • 証券会社や保険会社が行う、配当金や保険金等の支払調書作成など

ご存じの方も多いかと思いますが、第三者によるマイナンバーの取得は「法律で定められている場合のみ」かつ「利用目的を明示」する必要があります。原則として、マイナンバーは一生涯変わることのないものです。

そのため、不正収集・利用には十分に気をつけなくてはなりません。企業は、このようなことを防ぐための安全管理措置を講じる必要があります。

参考:特定個人情報の適正な取扱いに関するガイドライン(事業者編)

https://www.ppc.go.jp/legal/policy/my_number_guideline_jigyosha/

本記事では、マイナンバーと社会保険労務士(以下、社労士)の関係や、クラウドシステムによるマイナンバーの管理についてご紹介します。

労務担当者様ご自身はもちろんのこと、従業員の皆さまが理解を深めていただくことにもご活用ください!

どのような用途で収集しているのか、このように管理をしている、など伝えることで

安心感を持ってもらえるとともに、従業員と人事側との信頼関係の構築にも繋げることができます。

社労士が従業員のマイナンバーを使用するシーン

上述のように、労働・社会保険(以下、社保)関連の手続きにはマイナンバーが使われるようになりました。制度開始前と比べると、新たに記入欄が設けられているかと思います。

そのため、必然的に社労士に従業員のマイナンバーを共有する必要があります。

また、「税金」と大いに関わる給与計算においても、マイナンバーは欠かせません。加えて、入退社の手続きや源泉徴収にも関わってきます。

実際には、自社がどの業務をどこまで社労士に依頼しているかによりますが、全くマイナンバーを共有せずに顧問業務を行う…というのはレアケースなように思われます。

これを踏まえると、顧問の社労士に対しては「きちんとマイナンバーが管理されているのか」「情報漏洩を防止できるような体制になっているのか」を確認しておくと良いでしょう。

上記でもご紹介しましたが、個人情報保護委員会(PPC)によって「特定個人情報の適正な取扱いに関するガイドライン」というものが設けられています。続いては、こちらの内容を簡単にご紹介します。ぜひ、顧問への確認や自社のマイナンバーの管理状況の確認のご参考になさってください。

特定個人情報の適正な取扱いに関するガイドラインとは

こちらのガイドラインは、特定個人情報を安全に管理するための指針です。具体的には、①組織的安全管理措置 ②人的安全管理措置 ③物理的安全管理措置 ④技術的安全管理措置 の4つに分けられています。

まず、組織的安全管理措置ですが、具体的にこのような組織体制を整備するようにとの例示が紹介されています。

・ 事務における責任者の設置及び責任の明確化

・ 事務取扱担当者の明確化及びその役割の明確化

・ 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化

・ 事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制

・ 漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制

・ 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化 

※引用元:同ガイドライン 

つまり、「マイナンバーの取扱担当者・責任者を明確にし、それ以外のひとは触れないようにする」・「不正や漏洩が発覚した場合には責任者へ連絡がなされるようにする」といったことがポイントのようです。また、事務担当者が複数いる場合には、責任者と担当者を分けることが望ましい、とも書かれています。

こちらは事務所・企業の規模にもよるかとは思いますので、状況に合わせてご判断ください。

他にも、取扱規定の運用や、状況の確認手法、漏洩事案に対する体制の整備なども書かれています。

取扱規定では、「 特定個人情報ファイルの利用・出力状況の記録」や「特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録 」といった例示がされています。

次に、人的安全管理措置です。

こちらでは、人為的なミスや不正を防ぐための取り組みなどについて、書かれています。具体的には、事務取扱担当者への適切な監督や、適正な取り扱いの周知徹底・教育をすべきだという内容です。

3つ目の物理的安全管理措置では、持ち出しなど物理的にマイナンバーが漏洩しないための取り組みについて書かれています。具体的には、マイナンバーを扱う担当者のPCや机の管理などが例示されています。

ICカードやナンバーキーでの入退室管理、間仕切りの設置やキャビネットの施錠など、実務ですぐに参考にできるような内容が多くありました。

・管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ持ち込む機器等の制限等が考えられる。

・ 入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる。

・取扱区域に関しては、間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置等を講ずることが考えられる。

・特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管することが考えられる。

・ 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定すること等が考えられる。

※引用元:同ガイドライン

加えて、「特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ場合」についても言及されています。例えば、持ち運ぶデータの暗号化、パスワードによる保護が対応策として書かれていますが、こちらではあくまで「物理的」にPCやファイルを保護するという観点のようです。データ破棄の手段についても、「専用のデータ削除ソフトウェアの利用又は物理的な破壊等」といったことが書かれています。

最後、4つ目は技術的安全管理措置です。こちらでは、特定のユーザーIDへの権限付与によるアクセス制御など、何かしらのシステムやクラウドストレージを使用してマイナンバーを管理する場合の対応について書かれています。

下記に、例示も交えて具体的な内容をご紹介します。

◆アクセス制御…事務担当者など必要とするひとのみが、マイナンバーを閲覧・管理できるようにする。

【例】

・特定個人情報ファイルを取り扱うことのできる情報システム端末等を限定する。

 ・ 各情報システムにおいて、アクセスすることのできる特定個人情報ファイルを限定する。

 ・ ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

◆アクセス者の識別と認証…事務担当者がアクセス権をもっていることを判別した上で、ファイルやデータにアクセスできるようにする。

【例】

・事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられる。 

◆外部からの不正アクセスの防止…外部からの不正アクセスや不正ソフトウェアから保護をする。

【例】

・情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断することが考えられる。

・ 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入し、不正ソフトウェアの有無を確認することが考えられる。 他

◆漏洩等の防止…インターネット等(メールなど)により外部に送信する場合の、漏えい防止措置を講じる。

【例】

・通信経路における漏えい等の防止策としては、通信経路の暗号化等が考えられる。

・ 情報システム内に保存されている特定個人情報等の漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。

以上、ガイドラインの内容をご紹介してまいりました。

※顧問先の社労士事務所が中小規模の場合には、対応方法が異なりますので、詳細はガイドラインをご参照ください。

こちらの内容に対応しているかどうかを確認することで、従業員のマイナンバーを安心して共有することができますね。しかし、対応しているかどうかはどうしても「自己申告」になりますので、それではまだ安心できないとお考えの方もおられるかもしれません。

その場合には、「SRPⅡ認証制度」を取得しているかどうか、を質問してはいかがでしょうか?

SRPⅡ認証制度とは?

こちらの制度は、全国社会保険労務士連合会が設置したもので、士業で唯一の個人情報保護の認証制度です。もともとは2008年にはじまったものですが、マイナンバー制度に準拠した内容に刷新されています。

SRPⅡ認証事務所として認証された事務所には、連合会より認証番号、 認証書及び認証マークの交付が行われているようです。取得事務所の一覧は現在非公開のようですが、東京都〇〇区+SPRⅡ認証など自治体名と組み合わせて検索をすると、取得済み事務所のサイトを確認することができます。

人事労務クラウド×マイナンバー管理

最後に、マイナンバー管理が可能な人事労務クラウドシステムをご紹介します。

上記ガイドラインでは、「技術的安全管理措置」について書かれていますが、特定のユーザーのみに見られるようにするなどはオンプレミスでもクラウドでも必要なことです。操作感や細かい機能はシステムにより異なりますが、気をつけるべきことは同じです。

また、ガイドラインには「委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない」という記載があります。この委託先には、社労士事務所はもちろんのこと(管理や作業などを委託する場合)、クラウド事業者も含まれます。

「必要かつ適切な監督」は、委託先の適切な選定・安全管理措置に関する委託契約の締結・委託先における特定個人情報の取扱状況の把握のこと。社労士事務所と同じように、クラウド事業者も「安心して使用できるところ」をしっかりと選びましょう。

◆freeeマイナンバー管理

サービスサイト https://www.freee.co.jp/my-number/

freeeマイナンバー管理は、無料で試すことのできるクラウドシステムです。「技術的措置」「物理的措置」「組織的措置」「人的措置」、の4つの安全管理措置への対応もされているようです。

もちろんfreeeとの連携もできますので、スムーズな管理が可能になります。

◆マネーフォワードクラウドマイナンバー

サービスサイト https://biz.moneyforward.com/mynumber

こちらも同じく、無料で登録することができます。マネーフォワードクラウド給与と連携して従業員を管理することができたり、マイナンバー収集方法を選ぶことができたりと、豊富な機能があります。

◆ジョブカン労務管理

プレスリリース https://all.jobcan.ne.jp/info/news/454/

プレスリリース https://all.jobcan.ne.jp/info/news/454/

ヘルプページ https://jobcan-lms.zendesk.com/hc/ja/articles/115003180152?_fsi=tuQIAPfy

こちらは、ジョブカン労務管理の一機能です。プレスリリース内に画像が載っていますが、シンプルな画面で簡単にマイナンバーを収集・管理することができます。また、データの暗号化、操作履歴の自動保存と、安全管理措置に対応した機能も備えています。

・・・

以上、マイナンバーと社労士の関わりや、安全管理措置、クラウドシステムの利活用についてご紹介しました。管理・収集する必要があるものですが、より一層の注意が必要であるため、制度開始後は業務が増えてしまったという方もいらっしゃるのではないでしょうか。

自社の管理方法に疑問、懸念をお持ちの方は、一度社労士に相談されることをおすすめします。個人情報の扱いに関して経験豊富なプロフェッショナルの力を借りることによって、安全かつ効率よく業務を進めることができるかと思います。

社労士事務所の選び方一覧へ