PCを製造・販売し保守サービスを提供している大手PCメーカーで、マイナンバーが記録されているPCは修理できないとする見解が相次いでだされ、保守サービスの規約にも反映されるようになってきました。中小企業では市販のパソコンを購入し利用しているケースが多いことから、そのパソコンで給与ソフトなどを利用してマイナンバーの管理を行う事業者も多いと思われます。
なぜ、こうした状況になるのか、実際にPCでマイナンバーを管理しようとする事業者はどう対処すれば良いのか、について考えます。
マイナンバーが記録されているパソコンに対する保守サービスの現状
ある大手パソコンメーカーの保守サポートの規約では、「修理ご依頼時の注意事項」のなかで、以下のようにマイナンバーが記録されているパソコンへの対応を規定しています。
「対象機器の記憶装置(ハードディスク等)にマイナンバー(個人番号)が記憶されたデー タがある場合には、修理をお受けできません。お客様は、修理をご依頼される前に、お 客様の責任においてマイナンバー(個人番号)を消去していただくものとします。なお、 修理および診断作業の過程で記憶装置(ハードディスク等)にマイナンバー(個人番号)が 記憶されたデータが確認された場合には、修理を実施せずに、お預かりした対象機器を お客様に返却いたします。」
この規定は一つの例ですが、その他のパソコンメーカーでも「マイナンバーが記録されているパソコンは修理できません」とする見解が、相次いで表明されています。
パソコンの修理を依頼するケースはいろいろなケースが想定されますが、例えば電源を入れてもパソコン自体が起動しないといった場合は、「修理をご依頼される前に、お客様の責任においてマイナンバー(個人番号)を消去していただくものとします」と言われても、それもできないから修理を依頼するのに一体どうすればいいんだといった状況に陥りかねません。
こうしたことが想定されるにもかかわらず、なぜマイナンバーが記録されているパソコンを切り捨てるような保守対応が出てきているのでしょうか?
個人情報保護委員会が公表している「特定個人情報の適正な取り扱いに関するガイドライン(事業者編)」のQ&Aのなかに図1のような項目があります。
下線は私が引いたものですが、このQ&Aにより、契約条項に「個人番号をその内容を含む電子データを取り扱わない旨定められて」いれば番号上の委託に該当しないことから、パソコンメーカー各社は、保守サービスの提供において個人番号関係事務実施者となり漏洩等があれば厳しい罰則を負わされる責務から逃れるために、「マイナンバーが記録されているパソコンは修理できません」としていると思われます。
ただし、このQ&Aで取り扱わないことにする対象としているのは「個人番号をその内容に含む電子データ」であり、ハードディスク等のハードウェアではありません。また、下線を引いた部分の後段では、「適切にアクセス制御を行っており」ということが付け加えられています。
この部分をどう解釈するかは微妙なところですが、マイナンバーを含む電子データを取り扱わない旨規約等で定めた上で、ユーザーが修理の対象となるパソコン等にマイナンバーを含む電子データがあることを告知した場合は、マイナンバーを含む電子データを取り扱わない旨の文章を提示した上で修理しますとしているパソコンメーカーもあります。要は、マイナンバーを含む電子データを取り扱わない旨規約等で規定し、マイナンバーを含む電子データにはアクセスしない=取り扱わなければ個人番号関係事務実施者にはならないと解釈した上での対応と思われます。
こちらの対応は、マイナンバーが記録されているパソコンはマイナンバーを消さないと修理しないとする対応よりは、ユーザーにとってはるかに優れていると思います。ただし、このような対応をとるメーカーでも、マイナンバーを記録したハードディスクなどを交換する場合、従来は故障したハードディスクは持ち帰えっていたはずですが、マイナンバーを含む交換部品はユーザーが買い取るような契約になるものもあるので、修理ができたとしてもこれまでよりコストがかかることになるケースもあるようです。
このような大手PCメーカーのマイナンバーが記録されたパソコンは修理できないとする対応は、ネット上で大きな話題になり批判の声も大きくなっています。単に「マイナンバーが記録されたパソコンは修理できない」とする対応は、ガイドラインのQ&Aに対する過剰反応でしかないといえます。Q&Aの内容を冷静に解釈し個人番号関係事務実施者にならなくても修理できるようにユーザー目線に立って考えれば、ハードウェアの修理は可能であり、実際にそうしているメーカーもあります。
パソコンでマイナンバーを管理せざるをえない中小企業のために、現状マイナンバーが記録されたパソコンは修理できないとする対応をとっている大手PCメーカーが、もう一度ガイドラインのQ&Aをきちんと読み込み、修理できるように規約改定を行うようになっていくのか、今後を見守りたいと思います。
パソコン等でマイナンバーを管理している事業者はどのように対応すべきか
パソコンメーカーが保守サービスでマイナンバーが記録されたパソコンを切り捨てるかのような対応を打ち出してくるなかで、パソコンでマイナンバーの管理を行っている(またはこれから行おうとしている)中小企業などの事業者はどのように対応すれば良いのでしょうか?
パソコンはいつ故障するか分かりません。いざマイナンバーの記載が義務付けられている書類を作成するというときに故障し、修理依頼したらマイナンバーが記録されたパソコンは修理できないと切り捨てられると、書類の提出期限に間に合わないなどということも起こり得ます。故障の内容によってはパソコンに記録していたマイナンバーを復帰できず、失うことにもなりかねません。
パソコンの修理ができるだけの技量をもつ社員が社内にいれば良いですが、そうでなければ、まずは、使用しているパソコンのメーカーが、マイナンバーが記録されたパソコンが故障した場合、修理対応してくれるのか、してくれないのかを確認することです。その上で、前項で見たとおり、マイナンバーを含む電子データを取り扱わない旨明示した上で修理対応するようなメーカーもありますので、そうしたメーカーのパソコンに切り替えるのも一つの対応策です。
また、この際社内のパソコンでマイナンバーを管理することで、マイナンバーを守るためにセキュリティ等にコストをかけ、さらに故障に対するメーカーの対応にも気を使うなどの負荷から開放されるために、クラウドのマイナンバー管理に乗り換えるのも、有効な選択肢になります。その場合は、クラウドでマイナンバー管理サービスを提供する事業者は、直接ユーザーの「個人番号をその内容に含む電子データ」にアクセスするわけではなくても、ユーザーのマイナンバーを保管するサービスを提供していることで、ユーザーの委託を受ける個人番号関係事務実施者となります。この点を、契約条項にきちんと規定しているかを確認した上で、クラウドのマイナンバー管理サービスを選択する必要があります。
というのも、ガイドラインのQ&Aでは、クラウドサービスについても保守サービスと同様の見解を示しているからです([図2]参照)。
このようなQ&Aを受けて、クラウドのマイナンバー管理サービスを提供している事業者でも「委託には当たらない」とする見解のもと、サービスを提供している事業者もいるようです。「委託」ではないとするクラウドのマイナンバー管理サービスを利用するとなると、マイナンバーにかかわる安全管理について、ユーザー側がすべての責任を負うことになってしまいます。
これに対して「委託を受ける」と明確に表明しているクラウドサービス提供事業者であれば、契約内容にもよりますが、ユーザーが登録、保管するマイナンバーに対して適切な安全管理措置を講じることはもちろん、安全管理の責任についても「委託」内容に応じて事業者側がある程度負うことになり、それだけユーザー側の負荷を軽減できます。 社内のパソコンでマイナンバーを管理することをやめて、クラウドのマイナンバー管理サービスを検討する場合は、提供されるサービス内容やコストも大事な検討ポイントですが、サービス提供事業者が「委託を受ける」と規約等で定めているかどうかも大事なポイントとして確認することをお勧めします。
著者略歴
中尾 健一(なかおけんいち)
アカウンティング・サース・ジャパン株式会社 取締役
1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。