読者です 読者をやめる 読者になる 読者になる

マイナンバー導入後初の確定申告をした

 2016年分の確定申告期間もほぼ半ばに達していますが、今回から書面にマイナンバーを記載するようになっています。

 やよいの青色申告オンラインを使って確定申告書類を作成したのですが、作成された書類をダウンロードしようとしたら以下のダイアログが表示されました。
f:id:kachine:20170227155403j:plain

ファイルに設定するマイナンバーを入力してください。
『やよいの青色申告 オンライン』は入力されたマイナンバーを保存せず、このファイルの作成だけに使います。
マイナンバーを入力しない場合、対応する項目を空欄で出力します。

 やよいの従業員でも何でもない、単なるユーザのマイナンバーを収集して面倒なことになるのをうまいこと回避したようです。
 個人情報保護法だけではなく、マイナンバー法に対応した情報管理を行う必要があり「安全管理措置」が必要と経産省の資料には記載されていますが、そもそも記録しなければいいんじゃないか的な発想なのかなと思います。
中小企業におけるマイナンバー法の実務対応(PDF) - 経済産業省
 

安全管理措置?

 ところで、この「安全管理措置」とは何なのかは、個人情報保護委員会の「特定個人情報の適正な取扱いに関するガイドライン」に明示されています。
ガイドライン

 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より引用すると以下の通り。

安全管理措置(番号法第12条、第33条、第34条、個人情報保護法第20条、第21条)
個人番号関係事務実施者又は個人番号利用事務実施者である事業者は、個人番号及び特定個人情報(以下「特定個人情報等」という。)の漏えい、滅失又は毀損の防止等、特定個人情報等の管理のために、必要かつ適切な安全管理措置を講じなければならない。また、従業者(注)に特定個人情報等を取り扱わせるに当たっては、特定個人情報等の安全管理措置が適切に講じられるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(注)「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。
※ 安全管理措置の具体的な内容については、「(別添)特定個人情報に関する安全管理措置(事業者編)」を参照のこと。

特定個人情報の適正な取扱いに関するガイドライン(事業者編)(PDF) - 個人情報保護委員会
 

安全管理措置具体例

 安全管理措置の具体的な内容とされる「(別添)特定個人情報に関する安全管理措置(事業者編)」も上記ファイルの末尾に記載されているのですが、その内容は項目数だけでも盛りだくさんで、内容含めて10ページ分になります。

  • 安全管理措置の検討手順
    • 個人番号を取り扱う事務の範囲の明確化
    • 特定個人情報等の範囲の明確化
    • 事務取扱担当者の明確化
    • 基本方針の策定
    • 取扱規程等の策定
  • 講ずべき安全管理措置の内容
    • 基本方針の策定
    • 取扱規程等の策定
    • 組織的安全管理措置
      • 組織体制の整備
      • 取扱規程等に基づく運用
      • 取扱状況を確認する手段の整備
      • 情報漏えい等事案に対応する体制の整備
      • 取扱状況の把握及び安全管理措置の見直し
    • 人的安全管理措置
      • 事務取扱担当者の監督
      • 事務取扱担当者の教育
    • 物理的安全管理措置
      • 特定個人情報等を取り扱う区域の管理
      • 機器及び電子媒体等の盗難等の防止
      • 電子媒体等を持ち出す場合の漏えい等の防止
      • 個人番号の削除、機器及び電子媒体等の廃棄
    • 技術的安全管理措置
      • アクセス制御
      • アクセス者の識別と認証
      • 外部からの不正アクセス等の防止
      • 情報漏えい等の防止

 「ウイルス対策するためにパソコン買ったんじゃない」というような感じの皮肉めいたCMが昔ありましたが、安全管理措置を講じる人員・予算を使わせるためにマイナンバー導入させたの?と思われても仕方ないかも。
 ところで、組織的・人的・物理的・技術的と4つの分野からの安全管理措置が定義されていますが、それってMECEになってるの?と感じなくもありません。
 という突っ込みはさておき、その内容はキチンと読んでみると、「技術的安全管理措置」(以下に引用)なんかはごく普通の事を言っています。

F 技術的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。

a アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
≪手法の例示≫
* アクセス制御を行う方法としては、次に掲げるものが挙げられる。
・ 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
・ 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
・ ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
【中小規模事業者における対応方法】
○ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

b アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
≪手法の例示≫
* 事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられる。
【中小規模事業者における対応方法】
○ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

c 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
≪手法の例示≫
* 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
* 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
* 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
* 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
* ログ等の分析を定期的に行い、不正アクセス等を検知する。

d 情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
≪手法の例示≫
* 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。
* 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。

 

雑感

 単に確定申告する側からしてみれば特に面倒なことは無いのですが、マイナンバーを取り扱う側の事業者は社内体制の構築など面倒くさそうな印象は受けます。基本的には大事な情報だから慎重に取り扱ってね。という趣旨なのでしょうけど。
 一方では税務署に本人確認のために免許証とマイナンバー通知カードのセットをコピーして提出する必要があったり*1、支払調書発行側の企業にもマイナンバー通知カードと免許証の画像をアップロードして提出する必要があったりと、今まで開示する必要が無かった個人情報まで引き渡すようになっているのは、何か矛盾を感じるような気もします。
 個人的にはマイナンバー導入で企業等や金融機関や医療機関など税務処理に必要なあらゆるエンティティを紐づけてもらって構わないので、確定申告をはじめとする税務手続きが一切不要になると便利だと思うのですけどね。
 



以上。

*1:原本を見せるだけでもいいらしい