個人家主・賃貸オーナーが直面するマイナンバーのリスクについて その2 ~「民間事業者にマイナンバーを提供する際に確認しておきたいポイント

 個人家主・賃貸オーナーが直面するマイナンバーのリスクについて その2 ~「民間事業者にマイナンバーを提供する際に確認しておきたいポイント

「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」に基づき導入されたマイナンバー制度が平成28年1月1日から運用開始されています。

内閣府が設置した、マイナンバーの問い合わせ窓口では不動産を賃貸している個人の貸主様や、不動産を売却した個人の売主様から、「賃貸不動産の借主や、不動産の買主からマイナンバーの提供を求められることがあるか」、「マイナンバーを提供する義務があるのか」といった問い合わせが多く寄せられているとのことです。このことは、「マイナンバーが重要な情報である」こと、「不用意に提供すべきものではない」ことが十分に認識されていて、なおかつ、「詐欺や不正取得に対する警戒が強い」こと、提供を求められたときに「慎重に対応しようとする」ことが表れているように見受けられます。

まずは、「どのような場面でマイナンバーの提供を求められるのか」ということと「提供する際にどのようなことに注意しなければならないか」のポイントについて説明します。

 

あわせてお読みください 

前回記事 : 「個人家主・賃貸オーナーが直面するマイナンバーのリスクについて」

 

1.マイナンバーを提供しなければならないとき 

不動産に関する取引に関連して、以下のとき取引先からマイナンバーの提供を求められます

 

不動産の売却時
  同一の取引先からの売買代金の受取額の合計が年間100万円を超えるとき

不動産の賃貸時
  同一の取引先からの家賃・地代などの受取額の合計が年間15万円を超えるとき

 

上記に該当する場合、取引先は税務署に対して、「不動産等の譲受の対価の支払い調書」「不動産使用料等の支払い調書」を提出することになります。その際に、収集したマイナンバーの記載が必要になります。

上記以外でマイナンバーを提出しなければならないときについては、内閣官房が公開している「マイナンバーの提供を求められる主なケース」をご参照ください。

 

2.民間事業者にマイナンバーを提供する前に確認しておきたいポイントとは?

マイナンバーを取り扱う事業者には中小規模の事業者も含まれます。法律で定められていることとはいえ、自分のマイナンバーを渡す相手方が、本当に、適切に、管理取り扱いができるのか?とても気になるところです。

マイナンバーの取り扱いにについては「個人情報保護委員会」(内閣総理大臣の所轄に属する行政委員会で特定個人情報保護委員会から転じたもの)から特定個人情報の適正な取り扱いに関するガイドラインが発行されており、ガイドラインではマイナンバーを取り扱う事業者が適正な取り扱いを確保するための具体的な指針が示されています。これらのガイドラインにのっとって適切な措置が取られているか、マイナンバーを提供しなければならない相手先に安全に管理する力量があるかどうかを見極めることからはじまめましょう。

 

3.相手先の力量の見極めポイントは「リスク分析」と「安全対策」がなされているか

マイナンバーを取り扱う力量とは、マイナンバーを安全に取り扱うことができる能力のことです。絶対に引き起こしてはいけない「情報漏えい」や「紛失」などの事故について、あらゆる場面を想定し、どのような場面で、どのようなきっかけ(要因)で事故が起きやすいかを考えてリスク分析をすることと、それらを未然に防ぐための安全対策を施すこと。

そして適切な運用のための手順やルールを定めて組織的に運用しているかどうかが見極めのポイントになります。

 

3.-1 相手先はプライバシーマークを取得していますか?

プライバシーマークは、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合していて、個人情報について、適切な保護措置を講じる体制を有している事業者等を認定し、プライバシーマークを与える制度です。
審査機関による審査を受けてプライバシーマークを取得している企業は、日常業務において個人情報を取り扱うときの規定が整備されており、社員ひとりひとりが教育を受け、適切に運用されていると認められた。ということになります。

「2016年1月以降でプライバシーマークの審査を受けるものは、番号法及び特定個人情報 ガイドラインを参照する対象に加える必要がある」となっていますので、プライバシーマークの認証取得事業者は、マイナンバーの取り扱いに対しても要求事項を満たしており、安全管理措置が十分であると判断できます。

3.-2 相手先はマイナンバーガイドラインにのっとった対策を施していますか?

プライバシーマークの取得には、相当のコストをかけて導入、運用しなければならないため、中小の事業者では、プライバシーマークの認定取得をしていないところがほとんどです。

内閣総理大臣の所轄に属する行政委員会「個人情報保護委員会」が、特定個人情報の適正な取り扱いに関するガイドライン(事業者編)を発行し、マイナンバーの取り扱いについて、事業者としての基準を定めています。

事業規模の大小にかかわらずガイドラインに基づいた一定の「リスク分析」と「安全対策」が求められています

 

4.相手先は「紛失」と「漏えい」のリスクについてどのような安全対策をしていますか?

特定個人情報の適正な取扱いに関する ガイドライン(事業者編)で、管理段階ごとに、取扱方法、責任者・事務取扱担 当者及びその任務等や具体的な安全管理措置について定めましょうと案内しています。

 

4.-1 マイナンバーを取扱う際、次のような場面が考えられます。

これらの場面ごとに、リスク分析や安全対策を行います

 マイナンバーを「取得」するとき

 マイナンバーを「移送」するとき

 マイナンバーを「利用」するとき

 マイナンバーを「保存」するとき

 マイナンバーを「提供」するとき

 マイナンバーを「削除・廃棄」するとき

※ガイドラインでは「移送」について記述はありませんが、一般財団法人日本情報経済社会推進協会(JIPDEC)の資料では「移送」についてのリスク分析にも言及がありますので記載しています。

 

4.-2 どんなリスクが想定されていますか

 

 「漏えい」(外部に漏れること)

  のぞき見、盗撮、盗聴、置忘れ、盗難、コンピュータウィルス

 「滅失」(なくなってしまうこと)

  紛失、災害などによる消失、誤って廃棄、コンピュータの故障

 「毀損」(壊れること、正確でなくなること)

  改ざん、誤入力、取り違え、汚損

 「目的外利用」

  特定個人情報の場合、目的外利用は法令違反

 「取り扱い事業者のコンプライアンス違反」

  関連法令、国が定める指針その他の規範への 違反 

 「取り扱い事業者のリスク」

  上記のリスクに起因する影響、経済的な不利益、や社会的な信用失墜

 「本人へのリスク」

  上記のリスクに起因する影響

 

 

4.-3 リスクに応じた対策とは

組織的安全管理措置

人的安全管理措置

物理的安全管理措置

技術的安全管理措置

の4つの観点で安全管理措置が講じられなければなりません

場面 リスク 対策 残存するリスク

取得

入力

漏えい

郵送時の盗難

破壊(滅失・き損等)

改ざん

入力ミス

同意 の取り忘れ等

・窓口マニュアル

(担当の規定など)

・入力チェック手順

 

受取ミスなど

移送

送信

誤送信

盗聴

不達

・あて先確認手順

・暗号化

・追跡可能な移送手段の採用

移送中の盗難など

利用

加工

不正出力

内部からの不 正アクセス

誤送信

目的外利用

操作ミス

ID の使い回し

・アクセス制御

・セキュリティ対策

・システムマニュアル

他人のID利用など

保管

バッ クアップ

紛失

破壊

盗難

改ざ ん

不正アクセス

ウィ ルス感染

ファイル交換 ソフト

規定違反等

・保管手順

・管理台帳の整備(規定)

・バックアップ手順

外部からの侵入など

委託

提供

輸送時の盗難

破壊

契 約上の問題

目的外利用

 不正入手

委託先の選定基準

(セキュリ ティ評価等)

委託先のリスク
廃棄・消去

未処理による放置

再利 用

不正持ち出し

・廃棄マニュアル

・ハードウェアの破壊等の手順

記録ミスなど

これらの各場面について、「リスク分析」と「安全対策」が十分に行われているか確認することが重要です

 

 

6.例えばこんな場面で安全対策がとられていますか? 

企業が支払い調書等を作成する事務の場合、例えば、次のような事務フローに即して、どのようなリスクがあるか分析したうえで安全管理措置を施した手続を明確にしておくことが重要となります。

 

例)支払い調書を作成する名目で、賃貸マンションの借主からマイナンバーの提出を求められた

「取得」の段階の事例

相手先が、あなたのマイナンバーを、直接、書面で受け取る場合、受け取った帰り道、担当者が紛失したり、盗難にあうリスクが考えられます。そのリスクに対して対策が施されていますか?

マイナンバーを郵送で提出するとき、中身が透けて見えたり明らかに中身がマイナンバーだと判別されるようになっていませんか?ゆうパックプラスなど郵送の追跡や、必ず手渡しで相手先に到達するなどの配達サービスが適用されていますか?

相手先がしている特定のマイナンバー登録WEBサイトでマイナンバーを入力する場合、そのサイトがSSLなどの暗号化によって盗聴を防止したり対策が施されていますか?

 

マイナンバーの提出を求められたとき、例えば提出するときの手順や安全対策について質問してみれば、その回答でどのようなリスクを想定して、対策が講じられているかがわかります

 

7.どうしてもマイナンバーを提供するのが不安な時

マイナンバーの提供を拒否したとき、現在のところ罰則規定はありません。マイナンバーの提供を保留することも、ひとつの安全対策であると考えているオーナーさまもいらっしゃいます。

しっかりと安全対策をとっている企業とそうでない企業、その取り組みに格差があるかもしれません。法律で決まっているからといってやみくもにマイナンバーを提供するのではなく、マイナンバー制度を取り扱う社会基盤として、取扱事業者全体の力量の底上げを図ることが必要なのではないかとも感じます。マイナンバーの提供先において、情報漏えいや紛失事故のないように、適切に取り扱いされるように、まずは自分自身で提供先の力量を確認することと不安な点や不完全な箇所が見受けられたときは、マイナンバーを提供する前に、改善や是正措置を講じてもらうように働きかけることが、マイナンバー取扱い事業者の力量の底上げを図る手段であるといえます。

 

 

参考資料

【参照サイト】

▼内閣官房

マイナンバーの提供を求められる主なケース

 

▼個人情報保護委員会

特定個人情報の適切な取り扱いに関するガイドライン

中小規模事業者向けはじめてのマイナンバーガイドライン

 

▼JIPDEC(一般財団法人日本情報経済社会推進協会)

「事業者がそなえるべきマイナンバー対応のポイント」

 

 

※ユニヴ・ライフ株式会社はプライバシーマークを付与された事業者です

 

 

ユニヴ・ライフへのお問合わせはこちら