番号法では、個人情報流出の危険を防止するために、法律では種々の罰則が定められています。
正当な理由なく個人番号をその内容に含む一定の情報を提供した場合(同法67条)、不正な利益を図る目的で個人番号自体を提供した場合(同法68条)、詐欺や暴行・脅迫、窃盗などで個人番号を取得した場合(同法70条)などには、処罰の対象になります。
さらに、特定個人情報保護委員会の命令に反したり、同委員会の調査に報告や資料の提出をしなかったり、または虚偽の報告や資料の提出を行ったり、その他答弁を拒否し、虚偽の答弁をし、検査を拒み、妨げ、忌避した場合も処罰の対象とされます(同法72条~74条)。
また、会社の業務に関して番号法上の一定の罪を犯した場合、会社自体も処罰される両罰規定もあります(同法77条)。
以上のマイナンバー制度は以上のようなものであり、会社としては以下のような対応を検討しておかなければなりません。
会社は、各業務や部門毎に、源泉徴収票や支払調書、健康保険、厚生年金保険、雇用保険関係等、個人番号の記載が必要な書類の確認をしておく必要があります。そして併せて、従業員や配当等の支払先など、個人番号の提供を求める相手も確認しておかなければなりません。それらに伴って、人事や給与、社会保険の社内の手続やシステム等の変更が必要になる場合もあるでしょう。
また個人番号の提供等を受け、適切に管理等するために、組織体制や社内規程、就業規程の見直しをしなければならないことも予想されますし、個人番号の収集や管理、破棄を担当する部門や担当者を明確に決めておくべきでしょう。
さらに、例えば情報管理体制の構築や、利用目的の通知等の方法、本人確認の方法、個人番号の収集の時期、収集のスケジュール等も含め、各場合に応じた具体的な手続やマニュアル、社内ルール等も整備しておくべきです。
なお、個人番号を取り扱う業務の全部又は一部を委託することも可能であり、実際会社であれば税理士や社会保険労務士等への委任をすることも多いといえますが、その方法や監督体制も構築しておかなければなりません。
会社としては、従業員や取引先等に対しても、マイナンバー制度の開始による変更点や手続等について研修等を通じて周知させておく必要があります。
マイナンバー制度の開始により、会社には従前以上に個人情報管理の責任が課せられることになりますので、従業員にもその点の意識を持つように指導しなければなりません。
個人番号や個人番号が記載された情報が外部に流出したり、不正に利用されたりすることになれば、会社自体も処罰される可能性があるため、絶対に避けなければなりません。
そのため会社としては、情報管理・安全管理・チェック体制の見直し、システムの改修やセキュリティの強化、責任者の明確化、就業規則の改訂などの対応は、必ず考えておかなければならないといえます。
以上の対応や体制構築にかかる費用等も、あらかじめ予想した上で、その予算措置をとっておかなければなりません
いわゆるマイナンバー制度の概要は以上のようなものです。
とはいえ、ご質問のように、業務が忙しくて対応が難しいという会社も少なくないかもしれません。そして、例えば会社が「仕事が忙しいし、うちの会社ではマイナンバー制度などは無視しよう」と決めて実行したとしても、直ちに直接罰則が適用されるわけではありません(特定個人情報保護委員会からの勧告や命令等がある場合はあります)。
しかし、マイナンバー制度に対応しないということは、会社が源泉徴収等の税務や社会保険の手続を行うことができないということになります。そうなれば、当然それによる不利益が科せられることが予想され、会社の業務に著しく影響があります。場合によっては会社の存続自体が危ぶまれることになりかねません。
そのため,その是非はともかく、マイナンバー制度への対応は、会社の存続のために必要な業務として理解しなければならないといえるでしょう。
(執筆 清水伸賢弁護士)