金融業務とマイナンバー制度

SCO、ACO検定試験 最新情報
金融業務とマイナンバー制度
2016/04 掲載
2016 年1月よりマイナンバー制度が本格開始された。金融機関は、顧客との取引に関連
して、顧客の個人番号を記載した支払調書等の税務関係書類を税務署に提出することが必
要となる場合もあり、マイナンバー法(「行政手続における特定の個人を認識するための番
号の利用等に関する法律」以下「法」という)の規制を遵守し、実務上、ミスのないよう
取り扱う必要がある。
(1)取得に関する規制
①個人番号の提供の要求の制限等
ア.個人番号の提供の要求の制限
民間事業者は例えば社会保険の関係で、従業員の個人番号を記載した書面を行政機関等
に提出したり、税の関係においても、従業者の個人番号を記載した給与所得の源泉徴収票
を税務署に提出することが必要になり、このような事務を処理する範囲においては、個人
番号やこれが含まれる個人情報(特定個人情報、法2条8項)を取り扱うことになること
から、つまるところ、ほとんどすべての民間事業者は、「個人番号関係事務実施者」
(法2
条 13 項)として、マイナンバー法上の規制を遵守しなければならないということになる。
個人番号利用事務等実施者は、個人番号利用事務等を処理するために必要があるときは、
本人または他の個人番号利用事務等実施者に対し、個人番号の提供を求めることができる
とされている。
(法 14 条1項)
。また、法 15 条では、
「何人も、法 19 条各号のいずれかに
該当して特定個人情報の提供を受けることができる場合を除き、他人に対し個人番号の提
供を求めてはならない」旨を定めている。ここで言及されている法 19 条は、特定個人情報
を提供することができる場合を、個人番号利用事務等の処理のために必要な場合等に限定
する規定(提供制限)であり、つまり法 15 条は、法 19 条各号のいずれかに該当する場合
以外には特定個人情報が提供されないことを確保するために、法 19 条に対応する形で、個
人番号の提供の要求をすることができる場合を限定している(提供の求めの制限)という
ことになる。
この点、金融機関は主として個人番号関係事務実施者となるので、個人番号関係事務を
処理するうえで必要な場合には、個人番号の提供を求めることができるということになる。
イ.特定個人情報の収集の制限
また、法 20 条は、特定個人情報を収集することができる場合を制限している。この収集
制限も、法 19 条の提供制限の規定に対応する形で定められており、
「何人も、19 条各号の
いずれかに該当して特定個人情報の提供を受けることができる場合を除き、他人の個人番
号を含む特定個人情報を収集してはならない」旨規定されている。
②個人番号取得時の本人確認の措置
個人番号利用事務等実施者は、個人番号の提供を受ける際には、本人確認の措置をとら
なければならない(法 16 条)
。
上記本人確認の措置には、番号確認(提供を受けた個人番号が正しいものであるかどう
かの確認)と、身元(実存)確認(個人番号の提供者が、確かに当該個人番号を付番され
た本人であるかどうかの確認)の双方が含まれる。
また、代理人から個人番号の提供を受ける場合は、本人の番号確認と、代理人の身元(実
存)確認のほか、代理人の代理権の確認も必要となる。
(2)利用に関する規制
①個人番号の利用の制限
ア.利用範囲の限定
個人番号の利用範囲については、マイナンバー法によって、社会保障、税及び災害対策
の 3 分野に限定されている。さらに、これら3分野に関連する限りあらゆる事務において
個人番号を利用できるというわけではなく、個人番号関係事務を処理するうえで必要な限
度でのみ個人番号を利用できる。すなわち、金融機関は、社会保障または税の関係で従業
員の個人番号を記載した書面を税務署その他の行政機関等に提出する場合や、顧客との取
引に関連して顧客の個人番号を記載した書面を税務署に提出する場合には、必要な限度で
個人番号を利用することができるが、例えば顧客の管理のために個人番号を顧客番号とし
て利用することは許されない。
イ.例外的な取扱いができる場合
金融機関は、個人番号関係事務の処理に必要な場合でなくとも、以下のいずれかの場合
には、例外的に個人番号を利用することができるとされている。
a.激甚災害時等に金銭の支払いを行う場合
b.人の生命、身体または財産の保護のために必要がある場合であって、本人の同意があり、
または本人の同意を得ることが困難である場合
②特定個人情報ファイルの作成の制限
多数人の個人番号を集積した特定個人情報ファイルが必要な範囲を超えて作成されるよ
うな場合は、特定の個人が容易に検索され、プライバシー侵害等が発生する危険性が高ま
るため、法 28 条では、個人番号利用事務等実施者その他個人番号利用事務等に従事する者
は、原則として、個人番号利用事務等を処理するために必要な範囲を超えて特定個人情報
ファイルを作成してはならない旨を定めている。
なお、例外的に、法 19 条 11~14 号(注)までのいずれかに該当して特定個人情報を提供し、
またはその提供を受けることができる場合は、特定個人情報ファイルを作成することがで
きるとされている(法 28 条)
。
(注)例として、個人番号利用事務実施者が、本人もしくはその代理人または個人番号関係
事務実施者(個人番号利用事務を処理するために必要な限度で)に提供する場合や、
地方公共団体システム機構が、個人番号利用事務等実施者に提供する場合などが挙げ
られている。
(3)情報管理に関する規制
①特定個人情報の保管の制限
マイナンバー法は、必要な範囲を超えて特定個人情報を保有すること自体を禁止してい
る。すなわち、法 20 条は、
「何人も、法 19 条各号のいずれかに該当する場合(すなわち、
特定個人情報を提供することができる場合)を除き、他人の個人番号を含む特定個人情報
を保管してはならない」旨を定めている。
なお、上記「保管」とは、
「自己の勢力範囲内に保持すること」をいい、「個人番号が記
録された文書や電磁的記録を自宅に持ち帰り、置いておくこと」も「保管」にあたると解
される。
②安全管理措置
次に、個人番号利用事務等実施者は、その保有する個人番号について、漏えい、滅失ま
たは毀損の防止その他の適切な管理のために必要な措置、すなわち、安全管理措置を講じ
なければならないとされている(法 12 条)
。
他方、特定個人情報(個人番号をその内容に含む個人情報)については、個人情報保護
法2条3項に定める個人情報取扱事業者でない「個人番号取扱事業者」
(法 32 条)におい
て、安全管理措置を講じ、かつ、安全管理が図られるよう従業者を監督しなければならな
いとされている(法 33 条・34 条)のみであるところ、例えば金融機関は、ほとんどの場合、
個人情報保護法2条3項に定める個人情報取扱事業者にあたるものと思われる。
それでは、ほとんどの金融機関は、特定個人情報については何らの安全管理措置をとら
ずともよいかといえば、当然そのようなことはない。
すなわち、特定個人情報も、個人情報保護法上の「個人情報」にあたることから、その
取扱いについては、マイナンバー法に特別の定めがない限り、個人情報保護法が適用され
る。そして、個人情報保護法 20 条、21 条は、個人情報取扱事業者に対して、安全管理措置
の構築義務及び従業者の監督義務を課していることから、個人情報取扱事業者である金融
機関は、個人情報保護法の規定に基づき、特定個人情報に関する安全管理措置を講じなけ
ればならない。
なお、マイナンバー法または個人情報保護法に基づき講じるべき個人番号及び特定個人
情報の安全管理措置の具体的内容については、特定個人情報保護委員会が定める安全管理
措置ガイドラインにおいて例示されており、金融機関は、その内容を参照しながら、実務
対応を行う必要がある。
③委託の取扱い
ア.委託先の監督
個人番号利用事務等実施者が、個人番号利用事務等を第三者に委託することは、マイナ
ンバー法においても特に禁止されてはいない。ただし、このような場合に、委託先におい
て特定個人情報の漏えい等が生じることのないよう、法 11 条は、
「必要かつ適切な監督」
を行わなければならない旨を定めている。
なお、
「必要かつ適切な監督」の具体的内容については、特定個人情報保護委員会が定め
る事業者ガイドラインおよび金融業務ガイドラインに言及があり、金融機関は、特に後者
の内容を参照しながら、実務対応を行う必要がある。
イ.再委託
個人番号利用事務等実施者が個人番号利用事務等を第三者に委託した場合に、当該委託
先は、委託者たる個人番号利用事務等実施者の許諾を得ない限り、再委託を行うことはで
きない(法 10 条 1 項)
。この再委託に関する規制は、個人情報保護法上のそれよりも厳格
であることに注意が必要である。
なお、委託先が再委託を行った場合に、再委託先は、「個人番号利用事務等の全部又は一
部の委託を受けた者」とみなされるため(法 10 条2項)
、個人番号利用事務等をさらに第
三者に委託(再々委託)することができるが、このときに、再々委託を行うことについて
の許諾を得るべきは、委託先ではなく、最初の委託者となる。
(4)提供に関する規制
個人番号は多種多様な個人情報と関連づけられ、その漏えい等は深刻なプライバシー侵
害等を発生させる危険性があることから、マイナンバー法は、特定個人情報(個人番号を
その内容に含む個人情報)を提供することができる場合を厳しく限定している。すなわち、
法 19 条は、
「何人も、次の各号のいずれかに該当する場合を除き、特定個人情報の提供を
してはならない」とし、特定個人情報の提供を原則的に禁止したうえで、個人番号利用事
務等の処理のために必要な場合等、正当な理由があると認められる同条 1~14 号に該当す
る場合に限り、例外的に禁止を解除している。
(5)違法な行為への罰則等
マイナンバー法は、一定の違法行為があった者に対し刑罰を科す規定を設けているが、
このうち、金融機関(の役職員)に関係がある主な規定は、以下のとおりである。
ア.正当な理由のない特定個人情報ファイルの提供
個人番号利用事務等に従事する者または従事していた者が、正当な理由がないのに、そ
の業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル
(その全部または一部を複製し、または加工したものを含む)を提供したときは、4年以
下の懲役もしくは 200 万円以下の罰金が科され、またはこれらが併科される(法 67 条)
。
イ.不正な利益を図る目的で行う個人番号の提供、盗用
個人番号利用事務等に従事する者または従事していた者が、その業務に関して知り得た
個人番号を、自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したとき
は、3年以下の懲役もしくは 150 万円以下の罰金が科され、またはこれらが併科される(法
68 条)
。
ウ.保有者の管理を害する行為による個人番号の取得
人を欺き、人に暴行を加え、もしくは人を脅迫する行為により、または財物の窃取、施
設への侵入、不正アクセス行為その他の個人番号を保有する者の管理を害する行為により、
個人番号を取得した者に対しては、3年以下の懲役もしくは 150 万円以下の罰金が科され
る(法 70 条 1 項)
。
(6)個人情報保護法との関係
マイナンバー法は、個人情報保護法の特例を定めることをその目的とするとされている
(法 1 条)
。そして、
(生存する個人の〉個人番号や特定個人情報も、個人情報保護法上の
「個人情報」にあたることから個人番号利用事務等実施者がこれらを取り扱うにあたって
は、マイナンバー法に特別の定めがない限りにおいて、個人情報保護法上の規制も遵守す
る必要がある。