何が変わる？ 改正マイナンバー法が成立

改正マイナンバー法と改正個人情報法保護法が今国会で成立した。改正マイナンバー法は金融や医療分野への適用範囲を拡大、個人情報保護法はビッグデータで得られた情報の取扱定義を定め、今後のビジネス機会創出を図る。

[岩城俊介，ITmedia]

　改正マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）および改正個人情報法保護法が成立した。

2016年1月に始まる「マイナンバー（社会保障・税番号）制度」（内閣官房）

　改正マイナンバー法は、「マイナンバー制度」（2016年1月開始）で利用できる当初の社会保障（年金、医療、介護、福祉、労働保険）、税制（国税、地方税）、災害対策分野の範囲から、2018年より預金口座や乳幼児が受けた予防接種の記録といった金融、医療分野にも利用範囲を広げるよう改正するもの。公平な徴税に加え、行政への手続きなどを簡略化できるメリットがある。預貯金口座とマイナンバーとのひも付け登録は当面預金者の任意だが、当局は登録によって脱税や不正受給などの発見、抑制などへの効果も期待する。

　なお、2015年6月に大規模な情報漏えい事件を起こした日本年金機構もマイナンバーシステムと接続し、基礎年金番号とひも付けて年金に関する情報を管理する予定だが、安全な体制が整うまで接続は当面延期する。延期期間は半年から1年ほどと想定され、インターネット上で個人自身が個人情報のやりとりの記録を確認できる「マイナポータル」の稼働（2017年稼働予定）には間に合わせるよう対策と整備、信頼回復などに努める。

　改正個人情報保護法は、IoTなどで得たビッグデータを活用した情報の取り扱いにおいて、個人を特定できないようそれを適切に加工すれば本人の同意なしで第三者に提供できるようにするなど、個人情報の定義を明確化した。企業が新産業や新ビジネスを創出しやすくする一方、不正利用の罰則を新たに加えた。

改正マイナンバー法

• 金融分野への利用範囲拡大（預貯金口座への適用・開設の簡素化など）
• 医療分野への利用範囲拡大（特定健診、予防接種の記録など）

改正個人情報保護法

• ビッグデータなどにおける個人情報の定義を明確化
• 適切な規律の下で個人情報等の有用性を確保（個人を特定できないよう適切に加工すれば、本人の同意なしに第三者へ提供できることでビジネス機会を広げる）
• 個人情報の保護を強化／罰則

　今後、新規ビジネスの創出を見込み、マイナンバーのさらなる民間利用も想定されている。

　政府・IT総合戦略本部マイナンバー等分科会で示されたマイナンバー制度利活用推進ロードマップ（案）によると、ICチップ入りのカードで公的に本人認証ができる「個人番号カード」によって、これまで個別に発行されてきたさまざまなICカードを、例えば健康保険証から、社員証・キャッシュカード・クレジットカード・ポイントカード・診察券などもまとめて個人番号カードに一本化する「ワンカード化の促進」、さらには選挙、カジノ入館やオリンピック会場への入館規制、資格／入学試験の受験票（替え玉防止対策）などの多方面への活用シーンが案として挙げられている。

マイナンバー通知カードと個人番号カード

• （参考）「マイナンバー通知カード」と「個人番号カード」について

政府・IT総合戦略本部マイナンバー等分科会で示された「マイナンバー制度利活用推進ロードマップ（案）」（出典：首相官邸 新戦略推進専門調査会マイナンバー等分科会の資料）

• （関連記事）マイナンバー制度で問われているのは情報を守る価値観や新規事業の創造力

マイナンバー制度とは

　マイナンバー制度は、2013年5月24日に成立した「マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）」によって、複数の機関に存在する個人の情報が「同一の人の情報である」ことの確認を行うための基盤である。2016年1月に開始する。

　国民一人ひとりに固有の12ケタの番号の「マイナンバー」を割り当て、それに基づき国民の生活や収入など各自の事情に応じた行政サービスの迅速化を図る目的で導入される。主に（当初は）、社会保障制度（年金、医療、介護、福祉、労働保険）、税制（国税、地方税）、災害対策に関する分野に使われる。2015年10月5日よりマイナンバーが付番された通知カードが国民一人ひとりに届き、個々の申請手続きによって個人番号カードが交付される。

　事務を担当する機関は行政機関や自治体などだが、社会保障や税に関する届出に必要な従業員のマイナンバー収集や以後の管理は個々の民間企業、ないしその委託先が担う。例えば、税分野では、税務当局へ申告する各企業が番号の収集と管理を行い、給与所得の源泉徴収票などさまざまな帳票へ記載する対応が必要となる。基本的には、すべての民間企業や団体が当てはまるものとなる。

　マイナンバーを含めた個人情報は「特定個人情報」と定義され、取り扱いが厳格に規定される。これまでの個人情報保護法では対象外（5000件以下）の事業者であっても、それを1件でも取り扱うならばマイナンバー法における「個人番号関係事務実施者」となり、規制の対象になる。罰則も個人情報保護法より種類が多く、法定刑も重くなっている。一例として、正当な理由なく業務で取り扱う特定個人情報を提供した場合「4年以下の懲役または200万円以下の罰金」が科せられることがある。

　マイナンバーの取り扱いにおいて民間企業は「必要な範囲を超えて扱わない」「情報漏えいしないよう安全に管理する」「取り扱う従業者を教育、監督する」「委託先を監督する」などの義務や責務を負う。具体的にはマイナンバー制度の開始までに、マイナンバーの収集において厳格な本人確認を行うシステム、情報漏えい防止のための安全管理処置を講じること、そのための社内ITシステム改修やポリシーの制定、改訂を行っていく必要がある。データ保護の方法については、例えば「データの暗号化」や「パスワード保護」、そして「暗号鍵やパスワードの適切な管理」を行うようガイドラインで示されている。

　マイナンバー関連業務をアウトソースするにも、その委託先（その委託先の委託先も含めて）が適切かつ安全に管理、運用しているかを自社が監督する義務がある。漏えい事故が発生すれば、自社も罰則の対象になる。アウトソーシングサービスの選定も、マイナンバー法施行に対応した安全、確実な対応と対策手段を設けている事業者かを見極める必要がある。

• →間に合わせる、その後も見据える「マイナンバー緊急対策」

特集まとめ読み特別冊子 プレゼント応募フォーム

特集『間に合わせる、その後も見据える「マイナンバー緊急対策　実践指南」』の特集記事をまとめた電子冊子（PDF）を、特集終了後にプレゼントいたします。

＜＜＜ 応募はこちらから