企業は、従業員のマイナンバーの個人情報をどのぐらいの期間保管する必要があるのでしょうか?

また、どんなタイミングでその情報を廃棄しなければいけないのでしょうか?

マイナンバーの保管期間

企業は、従業員が入社するときなどに従業員本人分と扶養家族分のマイナンバーを申告してもらうことになりますが、マイナンバーは大切な個人情報であり、情報漏洩のリスクがあることから長い期間に渡って保管することは望ましくありません。

マイナンバー以外でも、従業員の退職者の履歴書などの個人情報の各種資料を退職後も保管していることがありますが、情報漏洩のリスクが高まることから、整理して廃棄することが求められます。

マイナンバーについては、保管期間はマイナンバーの法律(番号法)で定められている訳ではありませんが、原則としてそれぞれの書類の関係法令に基づいて管理することになります。

例えば、健康保険の申請にあたってマイナンバーを利用する場合には「健康保険被保険者資格取得・喪失届」の保存期間が法律で2年間と決められているので、少なくとも2年間保管する義務があります。他にも、給与所得者の扶養控除申告書は7年間、雇用保険被保険者関係書類は4年間、労災保険に関する書類は3年間などが、それぞれの法律で定められています。

情報漏洩を防ぐためにすること

情報管理責任者による定期的なチェック

マイナンバー制度を導入するにあたっては、個人情報が情報漏洩することがないように厳格な管理をしなければいけません。

従業員が100名を超える企業の場合は、特に徹底した管理が求められていて、「特定個人情報の適正な取扱いに関するガイドライン」では物理的な安全管理対策、技術的な安全管理対策が求められていて、さらに従業員教育を含めてハード面・ソフト面による情報漏洩の対策を講じる必要があります。

しかし、運用ルールが形骸化して重大な情報漏洩の事故が発生することも考えられます。そのために、継続的に情報漏洩の対策が実施されていくことが重要であります。その具体的な例が、マイナンバーを含めた特定個人情報に関する責任者による定期的なチェック(監査)です。定められている安全管理対策などが遵守されているかを、抜き打ちでチェックすることで情報漏洩の対策が実施されていることを確認する方法です。

マイナンバー事務取扱担当者に誓約書提出を求める

マイナンバーの事務を担当する従業員に対して、口外をしないことはもちろん、スマホなどによって写真撮影をしないといった内容を盛り込んだ、誓約書の提出を求めるという方法です。

この誓約書は1年に1回など定期的な頻度で提出を求めると、緊張感が欠如しないで慎重に取り扱ってもらえることが期待できます。誓約書は、退職時にも提出してもらうことで、退職後に情報漏洩するリスクを低減することが出来ます。

さらに、規程類についても定期的な見直しをすることで、日々変化していく業務フローに対応することが出来ます。

マイナンバーの廃棄方法の注意点

マイナンバーが記載されている書類が法定保存期間を経過した際に、どのように廃棄すれば良いのでしょうか?

マイナンバーが記載されている書類は、それぞれの書類に関する法律が定めている期間、保管する必要があります。そして、法定保存期間が過ぎた資料などについては、廃棄する必要があります。

廃棄方法にあたって、注意することは以下のようなことです。

紙媒体の廃棄方法

廃棄にあたっては、マイナンバーが記載された資料が紙である場合はシュレッダーによって裁断処分して、復元が不可能な方法によって処分することが求められます。

書類が膨大になる場合は、シュレッダー以外でも溶解処理をしてもらうサービスを活用する方法もあります。

デジタルデータの廃棄方法

廃棄にあたって、マイナンバーが記載された資料がデジタルデータである場合は、データを確実に削除する必要があります。

デジタルデータの廃棄や削除について、パソコン内にデータを管理していた場合、パソコン内のデータが簡単に復元出来てしまうと情報漏洩してしまうため、確実にデータが削除されるように管理する必要があります。

このように、自社のパソコン内でマイナンバーの個人情報を保管している場合、その取扱いに非常に気を使うことから、下記のようなサービスを利用することも検討して良いかと思います。

予算をかけずに情報漏洩のリスクを防ぐ!究極のマイナンバー対策【マイナクラウド】

外部のマイナンバー管理サービスを活用することで、情報漏洩のリスクが大幅に低減され、また自社システムで管理する場合に比べて大幅に管理費用を削減することが出来ます。

是非、ご検討してみてください。