マイナンバーと個人情報保護法--外部委託サービスは“安全”か

　2015年から2016年にかけて大きな話題となったIT関連ニュースの１つにマイナンバー（番号法に基づく個人番号）の通知・運用が始まったことが挙げられるだろう。全国で番号通知カードが郵送され、個人番号カードの申し込み受付・配布が始まっている。本稿では、企業のマイナンバー運用における外部委託やセキュリティなどについて、筆者の私見を述べる。

マイナンバーの運用が始まった

　春の訪れと共にマイナンバー運用開始後初の確定申告の季節が到来したが、今年からe-TAXの手続きには番号カードに格納された公的個人認証のための電子証明書も利用できるようになる（従来の住民基本台帳カードの電子証明書も有効期限内は引き続き使える）。

　一方で、一部にはマイナンバー制度に反対して通知カードの受け取りを拒否する人がいるという報道があるが、カードを受け取らなくても番号自体は発行されているので意味がない。番号は住民票の写しを入手する時に「マイナンバー付き」を選択、発行してもらえば、自分の番号が記入されていることからも確認できる。

　民間企業では2016年1月から、税務当局に提出する法定調書にはマイナンバーを記入することになった。そのため2015年11月ごろから従業者と扶養家族のマイナンバーを収集する企業が増えているが、まだ全てを収集し終えていない企業も多数あると考えられる。

　また、金融機関では投資信託などのサービスにおいて、顧客に対する支払いと、それに伴う法定調書が発生するため、契約時にあらかじめマイナンバーを取得しなければならない。すでに投資信託やNISAなどの金融商品を提供する銀行や証券会社のウェブサイトでは、申し込み時にマイナンバーの提示が必要である旨の説明されている（銀行の普通預金口座については2018年から運用が始まる予定）。

　また、2016年の税制改正の大綱の中で、一定の書類については提出者等の個人番号の記載を要しないこととする見直しも実施された。この見直しにより、具体的に番号の記載を要しないこととする書類（案）が公開されている。この見直しに関する動向については今後も注視していく必要があるだろう。

　運用開始前に心配されていた「マイナンバー漏えい事件」といったようなものは、本稿執筆時点（2016年3月下旬）では、発生していない（明るみに出ていないだけかも知れないが）。しかし、規模が大きくないトラブルは数多く報告されている。

　地方自治体では番号通知カード誤配達や配送の遅れ、住民票に誤って記載した、同姓同名の別人に誤って交付したなどのトラブルが報告されている。また、地方公共団体情報システム機構（J-LIS）が運用しているマイナンバー制度関連システムで障害が発生し、個人番号カードを窓口で手渡せなくなる、自治体から住民情報を送れなくなる、などのトラブルも発生している 。

　一方で企業側からも「サイバー攻撃による大量の漏えい」などは報告されていないものの、紛失事故などはあちらこちらで発生しているようである。中には「通知カードの原本提出」を求めた企業が、あろうことか提出されたカードを紛失したというケースも報道されている（なぜこのようなことが起こるのかは不明だが、企業側では正しい番号がわかればよいのであって、通知カードを収集する必要は全くないはずである）。紛失事故を完全になくすことは難しいが、業務プロセスの見直しや電子化による紙情報の削減など、多角的に取り組んでいく必要がある。

　もちろん、今のところ大きな問題が起きていないからといって油断は禁物であって、標的型攻撃などのサイバー攻撃や内部不正行為に対する備えを怠ってはならない。

　さらに注意しなければならないのはマイナンバーに関連した詐欺行為であろう。「教えるのは犯罪だ」「流出しているから抹消のため金を払え」など、新手の振り込め詐欺的な行為が増えており、手口も巧妙になっているため十分警戒する必要がある。