マイナンバーPDFの安全管理完全ガイド【会計士・税理士向け】
2016年のマイナンバー制度開始以来、会計士・税理士事務所では毎年多数のクライアントのマイナンバーを取り扱う業務が発生しています。源泉徴収票、確定申告書、年末調整関係書類など、マイナンバーが記載されたPDF書類は特定個人情報として通常の個人情報よりも厳格な管理が義務付けられています。 番号法(マイナンバー法)と個人情報保護法のもと、特定個人情報の取り扱いには「利用目的の明示」「収集制限」「安全管理措置」「廃棄」の各フェーズで適切な対応が求められます。特にPDF形式で管理する場合、デジタルデータは複製・流出リスクが高いため、紙書類以上に厳重な管理が必要です。 本記事では、マイナンバーが含まれるPDF書類の収集から廃棄まで、会計士・税理士が実務で実践すべき安全管理の全プロセスをLazyPDFの活用法も交えながら詳しく解説します。クライアントからの信頼を守り、法令違反リスクを回避するための具体的な手順をご確認ください。特定個人情報保護委員会(現:個人情報保護委員会)のガイドラインに沿った実践的な内容です。
マイナンバー入りPDFの収集・受取時の注意点
マイナンバーが記載されたPDFをクライアントから受け取る際には、まず「利用目的の確認」と「本人確認」の2点が法令上必要です。単に書類を受け取るだけでなく、何の目的でマイナンバーを使用するかを明確に伝え、記録を残しておく必要があります。 PDFでの受取方法としては、メール添付・クラウドストレージ経由・専用ポータルサイト経由の3パターンが一般的です。このうち最もリスクが高いのはメール添付で、誤送信や盗聴のリスクがあります。受け取ったPDFはすぐにパスワード保護を追加し、社内の管理システム(マイナンバー管理台帳)に登録することが重要です。 注意点として、マイナンバーを含むPDFを印刷した場合は紙の管理も必要になります。デジタルと紙の両方で管理が発生するため、可能な限り電子データのみで処理が完結する業務フローを構築することがリスク低減につながります。
- 1クライアントからマイナンバー書類を受け取る前に、利用目的と管理方法を書面で説明・同意を得る
- 2受け取ったPDFを即座にLazyPDFのパスワード保護ツールでAES-256暗号化し、元ファイルは削除する
- 3マイナンバー管理台帳(Excelまたは専用ソフト)に登録し、アクセス権限者を担当者のみに限定する
- 4暗号化PDFを事務所の管理フォルダ(クラウド or オンプレミス)に保存し、パスワードは別途パスワード管理ツールで管理する
- 5業務完了後は不要になったPDFを確実に削除し、廃棄記録を管理台帳に残す
マイナンバー入りPDFのパスワード保護と暗号化の実施方法
特定個人情報の安全管理措置として、電子データには技術的安全管理措置が求められています。具体的には、アクセス制御(ログイン認証・権限管理)と暗号化が代表的な措置です。LazyPDFを使えば、難しいソフトウェア知識がなくてもブラウザ上で簡単にPDFの暗号化が行えます。 暗号化の強度はAES-128ビットとAES-256ビットの2種類が一般的ですが、マイナンバーのような高度な個人情報にはAES-256ビット暗号化を推奨します。パスワードは英数字記号を含む12文字以上が理想的で、「マイナンバー+クライアント名+年度」のような規則性があるものは避けてください。 また、パスワード自体の管理も重要です。パスワードをメモ帳などのテキストファイルで保存するのは危険であり、1Passwordや KeePassなどの専用パスワード管理ツールを使用することを強く推奨します。クライアントへのパスワード通知はメールとは異なるチャネル(SMS・電話)で行い、通知記録を残しておきましょう。
マイナンバーPDFの保管期間と廃棄手順
マイナンバーを含む特定個人情報は、番号法の規定により「利用目的が終了した後は速やかに廃棄・削除」することが義務付けられています。例えば、年末調整・確定申告業務のためのマイナンバーは、申告書の法定保存期間(通常7年)と関連付けて考える必要がありますが、マイナンバーそのものは業務完了後に速やかに削除するのが原則です。 電子データの廃棄では「ゴミ箱に移動」では不十分で、完全削除(上書き削除・データ消去ソフト使用)が必要です。クラウドストレージに保存していた場合は、サービス上での削除と合わせてバックアップからも削除されていることを確認します。 また、廃棄の記録を必ず残してください。いつ、誰が、どのマイナンバー書類を廃棄したかを管理台帳に記録することで、監査や問い合わせへの対応が容易になります。廃棄証明書の発行が可能な外部委託業者を利用する場合も、証明書をPDF化して7年間保存することが推奨されます。
よくある質問
マイナンバーが記載されたPDFをメールで受け取ることは問題ありませんか?
法律上は禁止されていませんが、通常のメール送受信は暗号化されていないため、盗聴・誤送信のリスクがあります。マイナンバー入りPDFをメールで受け取る場合は、事前にクライアントへの説明と同意取得、受信後の即時暗号化が必須です。可能であれば専用のセキュアなファイル送受信サービスやポータルサイトの利用を検討してください。受け取ったファイルはLazyPDFでパスワード保護後、管理フォルダに移動してください。
マイナンバーを含むPDFの保存期間はどのくらいですか?
マイナンバー法の原則では、利用目的が終了した後は速やかに廃棄が求められますが、関連する帳票の法定保存期間との兼ね合いで実務上は複雑です。例えば、確定申告書に付随するマイナンバーは申告書の保存期間(最長7年)に合わせて管理することが一般的ですが、マイナンバーそのものは業務上不要になった時点で削除するのが安全です。具体的な対応は個人情報保護委員会のガイドラインや顧問弁護士に確認することをお勧めします。
会計士事務所のスタッフが間違ってマイナンバーPDFを外部に送信した場合はどうすればよいですか?
誤送信が発生した場合は、まず速やかに相手方に連絡してファイルの削除を依頼し、その記録を残してください。次に、個人情報保護委員会への報告義務(重大な漏洩の場合)を確認し、必要に応じて報告と本人(クライアント)への通知を行います。再発防止のため、送信前の確認プロセス強化(複数人チェック等)と、送信データへのパスワード保護の徹底を図ることが重要です。