電子申請・労務クラウド2026/1/19

【社労士×税理士が解説】マイナンバーの収集・管理と安全管理措置｜中小企業の実務対応と4つのガイドライン

監

鮎澤パートナーズ代表　鮎澤竜哉
公認会計士第47928号・税理士第159175号・社会保険労務士第13240067号・行政書士第24061284号
年間100社以上の法人決算・会社設立・税務調査対応を支援。

マイナンバーの収集・管理と安全管理措置｜中小企業の実務対応と4つのガイドライン

従業員のマイナンバー管理に悩む経営者・人事担当者に向けて、収集方法・本人確認・4つの安全管理措置・中小企業の特例・漏えい時の対応を完全ガイド。この記事を読めば、ガイドライン準拠の適切な管理体制が構築できます。

🏆 結論：組織・人的・物理・技術の4つの安全管理措置を講じ、中小企業は特例措置を活用せよ

マイナンバー（個人番号）は「特定個人情報」としてマイナンバー法で厳格に保護されており、一般の個人情報より高いレベルの管理が求められます。事業者は①組織的②人的③物理的④技術的の4つの安全管理措置を講じる義務があり、違反すると4年以下の懲役または200万円以下の罰金（個人）などの罰則対象です。従業員100人以下の中小規模事業者には特例措置があり、マイナンバー管理専用システム導入なしでも、基本方針・取扱規程・施錠管理・担当者限定で対応可能。収集時は本人確認（番号確認+身元確認）が必須で、収集目的は源泉徴収票・社保手続きなど法定事務に限定されます。

マイナンバー制度の基本と事業者の義務

マイナンバー（個人番号）は、2016年1月から本格運用されている12桁の個人識別番号です。行政手続の効率化・公正な給付・負担の確保を目的として、社会保障・税・災害対策の3分野で利用されます。事業者は、従業員から収集したマイナンバーを「特定個人情報」として厳格に保護する義務があり、一般の個人情報よりも高いレベルの管理が求められます。

参考：個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」｜e-Gov法令検索「マイナンバー法」

事業者がマイナンバーを取り扱う場面

事業者がマイナンバーを収集・利用できるのは、以下の法定事務に限定されます（マイナンバー法第9条）。

分野	主な事務	対象者
税	源泉徴収票、給与支払報告書、支払調書、法定調書	従業員、役員、業務委託先（個人）
社会保障	健康保険・厚生年金の資格取得届、雇用保険の手続き	従業員
災害対策	被災者生活再建支援金の支給	被災従業員等

🔷 社労士の視点

弊所が労務顧問を担当する従業員15名の飲食業R社では、2024年の税務調査でマイナンバーの管理体制について細かく指摘を受けました。保管していたマイナンバー記入済みの扶養控除申告書を、事務所の鍵のかからない棚に保管していたことが問題視され、安全管理措置の是正勧告を受けました。中小企業でも「簡単だから大丈夫」とは言えず、最低限の物理的・組織的な管理体制は必須です。

マイナンバーの収集方法と本人確認

収集のタイミング

マイナンバーは、法定事務のために必要な時点で収集します。具体的には以下のタイミングが一般的です。

新規入社時（社会保険資格取得届、扶養控除申告書の提出時）
雇用契約・業務委託契約の締結時
役員就任時
扶養家族の新規追加時（配偶者・子の出生など）

本人確認の2段階（番号確認＋身元確認）

マイナンバーを収集する際は、なりすまし防止のため「番号確認」と「身元確認」の2つを実施する必要があります（マイナンバー法第16条）。

確認の種類	必要書類（いずれか）
番号確認	マイナンバーカード／通知カード（記載事項に変更がない場合）／住民票（マイナンバー記載）
身元確認	マイナンバーカード（単独で番号・身元両方の確認可）／運転免許証+健康保険証／パスポート+健康保険証

📢 マイナンバーカードならワンストップ

マイナンバーカード1枚で「番号確認」と「身元確認」の両方を行えます。従業員のカード普及率が高まっている昨今、カード提示を推奨することで収集業務を大幅に効率化できます。2024年12月に従来の健康保険証の新規発行が終了し、マイナ保険証が基本となったため、カード保有率はさらに上昇しています。

扶養家族のマイナンバー収集

扶養家族のマイナンバーは、従業員本人が代理人として収集します。原則として事業者が扶養家族に直接本人確認を行う必要はなく、従業員から「代理収集」する形が一般的です。

特定個人情報の利用・提供の制限

利用目的の明示

マイナンバーを収集する際は、事前に利用目的を明示します（個人情報保護法第21条）。具体的には「給与所得の源泉徴収票作成」「健康保険・厚生年金保険被保険者資格取得届」など、具体的な事務名を記載した利用目的通知書を用意します。

利用目的を超えた利用は禁止

マイナンバーは、当初明示した利用目的の範囲を超えて利用できません。たとえば、給与事務のために収集したマイナンバーを、従業員の個人番号紐付けマーケティングに流用することは違法です。

第三者提供の厳格な制限

マイナンバーは原則として第三者提供が禁止されており、法律で認められた場合のみ提供可能です。社労士・税理士への委託は、業務委託として例外的に認められますが、その場合も委託先管理義務があります。

4つの安全管理措置【ガイドライン準拠】

事業者はマイナンバーを安全に管理するため、以下4つの安全管理措置を講じる義務があります（マイナンバー法第12条）。ガイドライン本編「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」で詳細が定められています。

安全管理措置1：組織的安全管理措置

マイナンバーの取扱責任者・担当者を明確化し、組織的な管理体制を整備します。

組織体制の整備（責任者・担当者の指定）
取扱規程の策定（マイナンバーの取扱手順書）
運用状況の記録（ログインログ・アクセスログ）
取扱状況の確認・監査
漏えい等事案への対応体制の整備

安全管理措置2：人的安全管理措置

担当者の教育・監督を通じて、故意・過失による情報漏えいを防ぎます。

事務取扱担当者の監督（責任と権限の明確化）
定期的な研修・教育の実施
秘密保持に関する事項の雇用契約書・誓約書への記載

安全管理措置3：物理的安全管理措置

マイナンバーを記録する媒体・書類の物理的な保護を講じます。

特定個人情報等を取り扱う区域の管理（壁・間仕切り・施錠）
機器・電子媒体等の盗難・紛失防止
電子媒体等を持ち運ぶ場合の漏えい防止（暗号化）
個人番号の削除・媒体の廃棄（シュレッダー、焼却、溶解）

安全管理措置4：技術的安全管理措置

システム面でのセキュリティ対策を講じます。

アクセス制御（担当者以外のアクセス禁止）
アクセス者の識別と認証（ID・パスワード管理）
外部からの不正アクセス等の防止（ファイアウォール、ウイルス対策）
情報漏えい等の防止（暗号化、通信の保護）

📊 公認会計士の視点：内部統制としてのマイナンバー管理

マイナンバーの安全管理措置は、内部統制の重要な一部です。上場準備を進めるJ-SOX対応では、マイナンバーの取扱規程・運用ログ・定期監査の仕組みが監査対象となり、不備があれば重要な不備として指摘されます。弊所が支援したIPO準備中の資本金2000万円のSaaS企業S社では、JASDAQ上場に向けて、マイナンバー管理体制の文書化と運用ログの自動化を進めました。将来の上場を視野に入れる中小企業は、早期にクラウドシステム導入で運用を標準化することをおすすめします。

中小企業の特例措置【従業員100名以下】

従業員数100名以下の「中小規模事業者」には、安全管理措置の一部緩和が認められています。これは、中小企業の実情に配慮した特例規定です。

🧮 中小規模事業者の特例（例）

取扱規程の策定：詳細な規程作成は義務なし。業務フロー説明程度で可
取扱状況の記録：事務取扱担当者が複数いる場合に業務日誌等で記録
アクセス制御：特定個人情報等を取り扱う事務区域と取扱担当者を別々に管理すれば可
物理的管理：鍵付きキャビネットでの保管でも可（専用金庫不要）

中小企業の実務対応チェックリスト

中小企業が最低限押さえるべき対応は以下の通りです。

基本方針の策定（1〜2ページ程度の文書で可）
取扱責任者・担当者の指定（経営者または総務担当者）
利用目的通知書の準備（収集時に提示）
施錠管理（鍵付きキャビネット・ファイリングキャビネット）
パソコンアクセス制限（パスワード設定、担当者以外のアクセス禁止）
廃棄ルール（シュレッダーまたは溶解サービス利用）
雇用契約書への秘密保持条項（または誓約書）
定期的な見直し（年1回以上）

マイナンバーの保管と廃棄

保管期間の考え方

マイナンバーは「必要な期間」のみ保管できます。法定保存期間を踏まえて、業務に応じた保管期間を設定します。

書類	法定保存期間	マイナンバーの保管期間
扶養控除等申告書	7年間（提出期限の翌年1月10日の翌日から）	7年間
源泉徴収簿	7年間	7年間
社会保険関係書類	2〜4年間（書類により異なる）	2〜4年間
退職後の書類	期間経過後	速やかに廃棄

確実な廃棄方法

保管期間経過後は、復元できない方法で速やかに廃棄します。

紙媒体：細断シュレッダー、溶解処理サービス
電子媒体：データ削除ソフトでの抹消、物理的破壊
廃棄記録の保存：廃棄した日付・方法・担当者を記録

AYUSAWA PARTNERS

マイナンバー管理体制の整備は鮎澤パートナーズへ

初回相談無料。社会保険労務士・税理士・公認会計士・行政書士がワンストップで対応します。基本方針の策定から取扱規程の整備、クラウド導入まで、中小企業の実情に合わせたマイナンバー管理体制を構築します。

鮎澤パートナーズに相談する

委託・再委託の注意点

マイナンバーの取扱いを社労士・税理士・給与計算代行会社に委託する場合、事業者は委託先管理義務を負います（マイナンバー法第11条）。

委託契約で定めるべき事項

秘密保持義務
事業所内への立入り、帳簿書類等の閲覧権限
漏えい事案等が発生した場合の責任・報告義務
委託終了後のマイナンバーの返却・廃棄
再委託する場合の事前同意

⚠️ 注意：再委託には事前同意が必須

社労士が給与計算を専門会社に再委託する場合、委託元事業者の事前同意が必要です。事前同意なく再委託された場合、委託元事業者にも監督不足として責任が及ぶ可能性があります。契約書で再委託条件を明確化することが重要です。

漏えい等事案発生時の対応

マイナンバーを含む特定個人情報の漏えい・滅失・毀損が発生した場合、事業者には以下の対応が求められます。

対応の3ステップ

事業者内部での対応：事実関係の調査、二次被害防止、原因究明
個人情報保護委員会への報告：一定規模以上の漏えいは義務（速報3〜5日以内、確報30日以内）
本人への通知：漏えいした本人への連絡

報告が必要なケース

要配慮個人情報が含まれる場合
財産的被害が生じるおそれがある場合
不正の目的による漏えいの場合
1,000人を超える個人情報の漏えい

罰則規定【4年以下の懲役または200万円以下の罰金】

マイナンバー法は、他の個人情報保護法制より重い罰則を定めています。主な罰則を示します。

違反行為	罰則
正当な理由のない特定個人情報ファイルの提供	4年以下の懲役、200万円以下の罰金、両方の併科
不正な利益を図る目的の特定個人情報提供・盗用	3年以下の懲役、150万円以下の罰金、両方の併科
人を欺くなどによる特定個人情報の取得	3年以下の懲役、150万円以下の罰金
委員会からの命令違反	2年以下の懲役、50万円以下の罰金
法人両罰規定	法人に対しても罰金刑（一部の規定で1億円以下）

よくある失敗事例と対策

失敗事例1：マイナンバー記入済み書類を一般書類と一緒に保管

扶養控除等申告書をそのまま人事資料のキャビネットに保管してしまい、誰でもアクセスできる状態になっているケース。マイナンバー記入欄だけを分離した専用ファイルで施錠保管するのが基本です。

失敗事例2：メール添付でマイナンバーを送受信

業務委託先とのやり取りで、マイナンバーを含むPDFをメール添付で送信。暗号化せずに送ると漏えいリスクが極めて高くなります。PPAP（パスワード付ZIP）も現在は非推奨。専用クラウドストレージかセキュアメール送信が標準です。

失敗事例3：退職者のマイナンバーを放置

退職後も法定保存期間を過ぎてマイナンバーを保管し続けるケース。必要な期間を過ぎたら速やかに廃棄することが法的義務です。年1回の棚卸と廃棄の仕組みを設けます。

失敗事例4：社労士変更時の引継ぎ漏れ

社労士を変更した際、旧社労士が保管していたマイナンバーデータの廃棄・返却が未実施のケース。委託終了時の返却・廃棄条項を契約書に明記することが重要です。

よくある質問（FAQ）

従業員のマイナンバー提出を拒否された場合どうすべきですか？

まず利用目的を丁寧に説明し、再度提出を依頼します。それでも提出を拒否される場合、事業者としてはマイナンバー欄を空欄のまま書類提出してかまいません。拒否された経緯を記録に残しておくことで、事業者の責任が問われることはありません。

業務委託先の個人事業主のマイナンバーも収集が必要ですか？

報酬を支払う場合、所得税法で定められた法定調書（支払調書）の作成のため、原則としてマイナンバーの収集が必要です。報酬の年間合計が5万円を超える場合（一部を除く）に支払調書の提出義務があるため、契約時にマイナンバーを収集します。

マイナンバーカードを持っていない従業員からはどう収集しますか？

通知カード（記載事項に変更がない場合）またはマイナンバー記載の住民票で番号確認し、運転免許証などで身元確認します。通知カードは2020年5月に新規発行終了しましたが、既存カードは番号確認書類として有効です。

マイナンバーをExcelで管理してもいいですか？

Excelでの管理自体は違法ではありませんが、技術的安全管理措置としてパスワード設定・アクセス制御・ログ管理が必要です。クラウドサービス（SmartHR・freeeなど）を使う方が、セキュリティ・管理効率の両面で優れています。

源泉徴収票や支払調書にマイナンバーの記載は必須ですか？

税務署・市区町村に提出する源泉徴収票・支払調書・給与支払報告書にはマイナンバーの記載が必要です。ただし、従業員本人に交付する源泉徴収票にはマイナンバー記載不要です（むしろ記載しないのが原則）。

1人しかいない会社（個人事業主）もマイナンバー管理が必要ですか？

従業員を雇っていない個人事業主で、外部委託先への報酬が年間5万円以下の場合は、マイナンバーの収集・管理は基本的に不要です。ただし、業務委託先への報酬が発生する場合は支払調書の関係でマイナンバーが必要になります。

社労士や税理士にマイナンバーを渡すのは違法ではありませんか？

業務委託として適切な契約を結べば違法ではありません。委託契約書に秘密保持義務・再委託禁止・終了時の返却廃棄条項を含めることで、適切な委託となります。

漏えい事案が発生したら必ず個人情報保護委員会に報告が必要ですか？

すべての漏えいが報告対象ではなく、「要配慮個人情報」「財産被害のおそれ」「不正の目的」「1,000人超」のいずれかに該当する場合に報告義務が生じます。該当しないケースでも、本人への通知は検討すべきです。

中小企業の特例はいつまで有効ですか？

中小規模事業者の特例は、現時点で期限付きの措置ではなく、従業員100名以下である限り継続して適用されます。ただし、安全管理措置そのものが免除されるわけではなく、柔軟な実施が認められるという趣旨です。

マイナンバー管理を外部に完全アウトソーシングできますか？

可能です。クラウドサービス（SmartHR・freee等）や社労士・税理士への業務委託で、マイナンバー管理を実質的にアウトソーシングしている企業は多数あります。ただし、委託元事業者の監督義務は残るため、委託先の管理状況を定期的に確認する必要があります。

まとめ

📋 この記事のポイント

マイナンバーは「特定個人情報」として一般の個人情報より厳格な管理が必要
収集時は「番号確認＋身元確認」の2段階が必須
安全管理措置は「組織的・人的・物理的・技術的」の4分類
従業員100名以下の中小規模事業者には特例措置あり
委託時は委託先管理義務、再委託は事前同意が必要
法定保存期間経過後は速やかに廃棄（シュレッダー・データ抹消）
違反には4年以下の懲役または200万円以下の罰金などの重い罰則

マイナンバーの管理は、中小企業にとって負担に感じられる業務ですが、ガイドラインと特例措置を正しく理解すれば、無理なく適切な体制を構築できます。近年はクラウドサービスの普及により、中小企業でも大企業並みのセキュリティレベルで管理することが容易になりました。紙管理から電子化への移行は、労務DXと合わせて推進することで効率化と安全性の両立が実現します。

鮎澤パートナーズでは、社会保険労務士がマイナンバー管理体制の構築から取扱規程の策定、税理士が法定調書の作成支援、公認会計士が内部統制の観点での監査まで、総合的にサポートします。中小企業の実情に合わせた「最小限だが必要十分な管理体制」の提案が強みです。