いよいよ2016年1月からマイナンバーの運用が開始されます。そろそろ皆さんのお手元にも、各自のマイナンバーが届いているのではないでしょうか。

巷には、マイナンバーで私たちの生活はこう変わる！という類の、利用者の立場に立った記事や本があふれています。しかし、マイナンバーはあらゆる企業が関わることになる問題ですので、ベンチャー企業もマイナンバーの取扱いをよく理解しておく必要があります。

そこで本稿では、ベンチャー企業が抑えておくべきマイナンバーの基本的な留意点について解説していきたいと思います。

※文中では以下の定義を使用しています。

「個人情報保護法」…個人情報の保護に関する法律
「番号法」…行政手続における特定の個人を識別するための番号の利用に関する法律
「ガイドライン」…特定個人情報の適正な取扱いに関するガイドライン（事業者編）
「安全措置ガイドライン」…上記ガイドラインの「（別添）特定個人情報に関する安全管理措置（事業者編）」
「Q＆A」…「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」及び「（別冊）金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するＱ＆Ａ

１．個人情報保護法にも注意！番号法で特例が定められていない部分は、個人情報保護法に従う。

まず前提として、番号法は個人情報保護法の「特例」として、個人番号をその内容に含む個人情報（「特定個人情報」）の利用範囲を限定する等、より厳格な保護措置を定めるものであるという位置づけがされていますので、番号法で特例が定められていない部分については、個人情報保護法に従う必要があります。

また、番号法では個人情報保護法の読み替え規定も多く登場します。したがって、マイナンバーを扱う際は番号法だけでなく、個人情報保護法にも気を配る必要があります。

２．利用範囲に制限があることを理解しましょう！目的の範囲内でしかマイナンバーを利用することはできない。

番号法はマイナンバーの利用範囲について厳格な制限をかけており、同条に挙げられる目的の範囲内でしかマイナンバーを利用することはできません。

また、番号法では本人の同意があったとしても、一部の例外を除き、番号法上特定された利用目的を超えて特定個人情報を利用することはできません。

施行当初においては、社会保障と徴税の一部の分野のみに利用が限定されているため、それ以外に特定個人情報を利用することは番号法違反となってしまいます（なお、利用範囲は将来的に順次拡大されることが予定されています。）。

３．収集及び保管に厳しい制限があることに注意！必要ではないのに、マイナンバーの提供を求めてしまうと番号法違反？

マイナンバーは、その収集及び保管に厳しい制限があります。法律に定められた場合を除き、マイナンバーの提供を要求したり、収集や保管することについても厳しく制限されています。また、提供を受ける際の本人確認等の方法も厳格に定められています。

主なポイントとしては、①いつマイナンバーの提供を受けるのか、②どのように取得するのか、③いつまで保存するのかという3点が挙げられます。

①いつマイナンバーの提供を受けるのか

番号法上、個人番号関係事務（行政機関に個人番号を記載した書面を提出する等の事務）が発生した時点で初めて個人番号の提供を求めることができるのが原則です。従って、マイナンバーが必要な状況でないにもかかわらず、マイナンバーの提供を求めてしまうと番号法違反となる可能性がある点に気を付ける必要があります。但し、契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることは可能とされています（ガイドライン24頁）。従って、例えば従業員との関係では、入社時点でマイナンバーが必要となることは当然に予想されるため、入社時点で提供を求めることは可能と言えます。

②どのように取得するのかについて

前述のとおり、マイナンバーを取り扱うにあたっては個人情報保護法にも気を付ける必要があるところ、マイナンバーを取り扱うに当たっては、その利用目的をできる限り特定し、それを本人に通知又は公表する必要があります。

どのように特定するかについては、「源泉徴収票作成事務」「健康保険・厚生年金保険届出事務」のように記載することにより特定することが考えられるとされています（ガイドライン15頁）。通知又は公表の手段については、従来から行っている個人情報の取得の際と同様の方法で行うことが考えられるとされているため（Q＆A 1-5）、ベンチャー企業においては、プライバシーポリシー等をホームページに掲載しておくことにより対応することが一般的ではないかと思われます。

また、②については、個人番号の提供を受けるごとに本人確認を行う必要があります。ここでの本人確認とは、正しい番号であることの確認（番号確認）と、現に手続を行っている者が番号の正しい持ち主であることの確認（身元確認）の二つを意味します。

来年から交付が開始される個人番号カードであれば、一つで両方の確認を行うことが可能ですが、今年交付されている通知カードでは番号確認しか行うことができないので、別途運転免許証等の身元確認書類も提出してもらう必要があります。この他にも、従業員の扶養家族のマイナンバーをどのように取得する必要があるかなど、本人確認については色々と気を付けることがあります。本人確認については、内閣官房のQ＆Aが良くまとまっていますので一読していただくのが良いと考えます。

③いつまで保存するのかについて

番号法は「何人も、前条（第19条）各号のいずれかに該当する場合を除き、特定個人情報を収集し、又は保管してはならない。」と明確に定めているため、第19条の目的が終了した場合には保管してはならない、つまり廃棄する必要があります。従って、番号法所定の事務を処理する必要がなくなった場合で、法令において定められている保存期間を経過した場合には、速やかに廃棄を行う必要があります。さらにこの廃棄の方法についても、後述の安全管理措置ガイドラインで厳格に定められています。

４．マイナンバーの第三者への提供は原則禁止！マイナンバーの取扱いを委託する契約を締結する際にも要注意

マイナンバーは番号法第19条に規定する目的以外の目的で第三者に提供することはできません（いわゆるオプトインやオプトアウトについて規定した個人情報保護法の条文の適用が番号法では排除されています）。

なお、マイナンバーの取扱いを本人の同意なく委託することができる点は個人情報の取扱いと同じです。但し、個人情報の場合と異なり、マイナンバー取扱い業務を再委託等する場合には、委託のたびに、最初の委託者の承諾が必要となります。

かかる委託を行う場合には、管理必要かつ適切な監督を行わなければならない点に気を付ける必要があります。ここでの「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれるとされています。

「①委託先の選定」については、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等が挙げられる」とされていますので、かかる観点から確認をする必要があります。

「②委託契約の締結」については、「契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。また、これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましい。」とされていますので、マイナンバーの取扱いを委託する契約を締結する際にはかかる内容を盛り込んだ方が良いでしょう（以上につき、ガイドライン20頁）。

後編では特にベンチャーが気を付けるべき点、ウェブサービス等で会員の個人情報を有しているベンチャーが「個人情報取扱事業者」に該当していないか、ユーザーが番号カードの裏面の写しを送付してきた場合にはどのように対応するべきか等について解説していきます。