マイナンバーの管理方法・企業が知るべき安全管理と罰則

マイナンバーの管理方法・企業が知るべき安全管理と罰則

金融情報

マイナンバーの管理方法・企業が実践すべき安全管理の全体像

グループ会社でも別法人なら、あなたの会社はマイナンバーを共有した時点で違法になります。


📋 この記事のポイント3選
⚖️
違反すれば最大懲役4年・罰金200万円

マイナンバー法は個人情報保護法より罰則が重く、悪質なケースでは初犯でも実刑になり得ます。収集・利用・保管・廃棄の4フェーズすべてに法的義務があります。

🏢
中小企業(100人以下)には特例あり

従業員100人以下の事業者は取扱規程の作成義務が一部免除されるなど、実務負担を軽減する特例措置が設けられています。

🗑️
退職後も最長7年の保管義務がある

従業員が退職しても、書類の種類によっては最長7年間の保管が義務づけられています。不要になった時点での速やかな廃棄も法律上の義務です。


マイナンバーの管理方法・企業が収集時に必ず行う本人確認の手順


マイナンバーの管理は、最初の「収集」フェーズで誤りが生じると、その後の利用・保管・廃棄すべてに影響が及びます。収集の入口を正しく整えることが、安全管理の第一歩です。


企業が従業員からマイナンバーを取得する際には、必ず「番号確認」と「身元確認」の2つを同時に行う義務があります。マイナンバーカードを提示してもらえば、1枚で両方の確認が完結します。カードを持っていない従業員からは、マイナンバー通知カードや住民票の写しで番号を確認したうえで、運転免許証やパスポートなど顔写真付きの公的書類で身元を確認する手順が必要です。これが基本です。


収集時にもう一つ忘れてはならないのが、「利用目的の明示」です。個人情報保護法第18条の定めにより、企業はマイナンバーの取得前に利用目的を従業員へ通知する義務があります。「源泉徴収票の作成のため」「社会保険手続きのため」など、具体的な目的を書面または掲示で伝えましょう。


また、収集の対象は正社員だけではありません。アルバイトや契約社員も同様に収集が必要です。ただし、従業員の扶養家族については本人確認不要で番号確認のみでよく、これは意外と見落とされがちな規定です。


注意が必要なのは、従業員にはマイナンバーの提出を「義務づける」法規定がない点です。企業には収集する義務があっても、強制はできません。提出を求めても拒否された場合は、その記録を保管しておくことが、後々の法的リスク回避につながります。


デジタル庁:民間事業者におけるマイナンバー取扱いのよくある質問(収集・利用・提供の具体的なQ&Aを掲載)


マイナンバーの管理方法・企業が絶対に守る利用範囲と禁止事項

収集したマイナンバーは、使える場面が法律で厳密に限定されています。使い方を間違えると、それだけで罰則対象です。


マイナンバーを利用できるのは、社会保障・税・災害対策の3分野に限られます。企業実務で頻繁に登場するのは、源泉徴収票、扶養控除等申告書、雇用保険被保険者資格取得届、健康保険・厚生年金関係の各種届出といった書類です。つまり税務処理と社会保険手続きが2大用途ということですね。


よくある誤解が「社員番号の代わりに使えないか」「人事評価システムのIDに使えないか」といった発想です。これらはすべて禁止です。マイナンバーは法定外の目的に利用した時点で違法となり、正当な理由のない利用は3年以下の懲役または150万円以下の罰金の対象になります。


もう一つの盲点が、グループ会社間の取り扱いです。同じグループ企業でも、別法人であれば本人の同意なくマイナンバーを共有することはできません。グループ内で出向・転籍が発生した場合も、企業が直接データを渡すのではなく、転籍先での本人確認を経て改めて取得するか、グループ本社への委託契約を正式に締結したうえで本人同意を得る手続きが必要です。厳しいところですね。


派遣社員についても同様です。派遣先の企業が派遣社員のマイナンバーを取得・利用することは原則禁止であり、派遣元が各種手続きを担います。この仕組みは、派遣スタッフを多く抱える金融・サービス業界で特に見落とされやすい点です。


利用記録の管理も必須です。マイナンバーを使って書類を作成・提出したら、その都度「いつ、誰が、どの目的で」使用したかを記録に残さなければなりません。口頭での管理は認められず、記録簿の整備が求められます。


個人情報保護委員会:特定個人情報の適正な取扱いに関するガイドライン(事業者編)(利用範囲・提供制限の条文解釈まで詳しく掲載)


マイナンバーの管理方法・企業に義務づけられた4つの安全管理措置とは

マイナンバーを保管する企業は、法律に基づく4種類の安全管理措置をすべて実施する義務があります。これを怠った場合、情報が漏洩していなくても行政指導や罰則の対象になり得ます。


① 組織的安全管理措置は、マイナンバーを扱う責任者・担当者を明確にし、アクセスログの記録や取扱規程の運用を組織として管理する仕組みです。誰でもマイナンバーにアクセスできる状態は、それだけでアウトです。


② 人的安全管理措置は、担当者の監督と教育に関する取り組みです。担当者が不正をしてしまった場合、本人だけでなく企業も罰則を受けるリスクがあります。入社時の研修だけでなく、定期的なルール確認や意識向上のための教育を継続して実施することが求められます。これは有料・無料に関わらず、研修の実施記録を残すことも重要です。


③ 物理的安全管理措置は、書類やPCなどの物理的な管理です。マイナンバーが記載された書類は施錠できるキャビネットに保管し、関係者以外が立ち入れないエリアで取り扱うことが基本です。PCを持ち去られないようにワイヤーで固定するといった対応も、この措置の一環です。


④ 技術的安全管理措置は、アクセス権限の設定・暗号化・ログ管理・不正アクセス防止などのITセキュリティ対策です。担当者以外がシステムにログインできないよう、IDとパスワードの管理を徹底する必要があります。


重要なのは、従業員数が100人以下の中小規模事業者には特例措置があるという点です。たとえば取扱規程の作成が一部不要になるなど、大企業と同じ水準の対応を求められない場面があります。


ただし「特例があるから何もしなくていい」は誤解です。4つの安全管理措置の根幹部分は100人以下でも義務があります。担当者を1名定め、鍵のかかる保管場所を確保する。それだけでも、対策をまったく行わないよりリスクは大きく下がります。





























安全管理措置の種類 主な内容 中小企業(100人以下)の特例
① 組織的 責任者・担当者の明確化、記録管理 取扱規程の一部作成が不要
② 人的 担当者の監督・教育 義務あり(特例なし)
③ 物理的 施錠保管、入退室管理 ファイルの鍵保管など簡易対応可
④ 技術的 アクセス制御、暗号化、ログ管理 システム化が一部免除される場合あり


個人情報保護委員会:中小企業向けはじめてのマイナンバーガイドライン(中小規模事業者の特例措置を具体的に解説したPDF)


マイナンバーの管理方法・企業が見落とす退職後の保管期間と廃棄ルール

「退職した従業員のマイナンバーはすぐ消していい」と思っている担当者は多いです。実はそれが違法になるケースがあります。


マイナンバーを記載した書類には、法令ごとに保管期間が定められています。退職後であっても書類の種類によっては最長7年間の保管義務があり、この期間が過ぎるまで廃棄できません。以下が主な保管期間の目安です。



  • 📄 税関係(源泉徴収票、扶養控除等申告書など)…… 7年


  • 📄 雇用保険関係(被保険者資格取得届など)…… 4年


  • 📄 労災保険関係(各種請求書…… 3年


  • 📄 社会保険関係(被保険者資格取得届など)…… 2年


7年というと、2019年に入社してすぐ退職した従業員のデータが、2026年現在でもまだ保管義務の対象になっている計算です。意外ですね。


一方で、保管期間が経過した後は「できるだけ速やかに廃棄」することが義務になります。「まだ使うかもしれない」と保管し続けることも法律違反です。廃棄を後回しにすると、むしろリスクが高まるということですね。


廃棄方法にも規定があります。紙の書類であればシュレッダー処理や溶解・焼却など、「復元不可能な状態」にすることが必要です。データで保管している場合は、単純な「削除」では不十分で、復元できない形式での完全削除が求められます。廃棄を外部業者に依頼する場合は、「廃棄証明書」を発行してもらい、社内に保管しておくことが推奨されます。


廃棄期日の管理が難しいと感じる場合は、マイナンバー管理システムを活用するのが現実的な解決策です。書類ごとの廃棄期限を自動で管理し、期限到来時にアラートを出してくれる機能を持つシステムが複数提供されています。一度確認してみることをおすすめします。


マイナンバーの管理方法・企業が直面する罰則リスクと金融機関特有の注意点

マイナンバー法の罰則は、一般的な個人情報保護法の罰則より格段に重い設計になっています。知らなかったでは済まされない重さです。


以下が企業に関わる主な罰則規定です。



  • 🚨 特定個人情報ファイルの不正提供(第48条)…… 4年以下の懲役または200万円以下の罰金(両方も可)


  • 🚨 マイナンバーの不正な提供・盗用(第49条)…… 3年以下の懲役または150万円以下の罰金


  • 🚨 不正アクセスによる取得(第51条)…… 3年以下の懲役または150万円以下の罰金


  • 🚨 個人情報保護委員会の命令違反(第53条)…… 2年以下の懲役または50万円以下の罰金


懲役4年という数字には重大な意味があります。刑法では、3年を超える懲役刑には執行猶予を付けられないと定められています。つまり、悪質と認定されて懲役4年の判決が出た場合、初犯であっても実刑です。会社員や経営者が実際に収監される可能性があることを、多くの人は意識していません。これは知っておくべき情報です。


さらに見落とされがちなのが「両罰規定」の存在です。マイナンバー法では、違反行為をした個人だけでなく、その個人が所属する法人も罰則対象となる場合があります。担当者が独断で情報漏洩させた場合でも、企業として管理体制が不十分だったと判断されれば、会社自体が罰金を科される可能性があるのです。


金融機関や証券会社など、金融に携わる企業では特に注意が必要な点があります。マイナンバーは「社会保障・税・災害対策」以外での利用が禁じられているため、顧客のマイナンバーを与信審査や投資判断の参考資料として利用することは、明確な法律違反です。金融機関が顧客から取得したマイナンバー(非課税口座の申請など)を、融資判断の補助情報として活用するようなことは絶対にNGです。


情報漏洩が発生した場合の対応フローもあらかじめ決めておく必要があります。漏洩を把握した時点で個人情報保護委員会への報告義務が生じ、対象となった本人への通知も求められます。初動が遅れると、二次的な信用失墜リスクが膨らみます。対応責任者を事前に決め、連絡先と手順をフローチャート化しておくだけで、いざというときの被害を最小限に抑えられます。


jinjer HR:マイナンバー法の罰則内容と事業者が取るべき対策(罰則の条文一覧と企業の対策をわかりやすく解説)


カシオヒューマンシステムズ:企業のマイナンバー管理について解説(収集・利用・保管・廃棄の4フェーズを詳細に解説)






金庫 家庭用 小型 A6 SBX-A6 きんこ 手提げ金庫 ミニ ダイヤル ダイヤル式 キーシリンダー レジ マイナンバー 手提金庫 防犯グッズ 防犯対策 防犯 お金 アイリスオーヤマ オフィス 事務所 スチームボックス ケース