行政書士事務所のマイナンバー取扱いは「番号法+個人情報保護法」の2階建てで考える
行政書士事務所では、帰化申請・在留資格申請・各種許認可・社会保険関連書類の作成支援などで、依頼者から提出された資料にマイナンバー(個人番号)が記載されている場面があります。マイナンバーを積極的に利用する業務でなくても、番号が記載された書類を受領・保管する場合には特定個人情報として慎重な管理が必要です。これらは「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)と個人情報保護法の両方で、通常の個人情報より厳格な安全管理措置が求められます。
不適切な取扱いは、行政書士法第 12 条の守秘義務違反だけでなく、番号法第 67 条(4 年以下の拘禁刑または 200 万円以下の罰金。2025 年 6 月 1 日施行の改正刑法により「懲役」「禁錮」は「拘禁刑」に一本化)等の罰則対象となります。本記事では、TechSync が士業特化のセキュリティ環境構築で蓄積した知見をもとに、技術的・人的・物理的の 3 軸で具体的な対応策を整理します。士業事務所のセキュリティチェックリスト、士業のデータバックアップもあわせてご覧ください。
マイナンバーの取得・利用目的制限
マイナンバーは、通常の個人情報以上に利用目的が法律で限定されます。個人情報保護委員会の特定個人情報ガイドラインでも、取得・利用・提供・保管・廃棄の各段階で厳格な取扱いが整理されています。行政書士事務所が本人確認や資料確認の過程で番号記載書類を受領する場合でも、業務上必要性のない番号部分はマスキングを依頼するか、または受領後速やかに番号部分を見えない形で管理するなど、利用目的外の保管を避ける運用が重要です。番号が記載された書類を漫然と保管すると、安全管理措置の対象範囲が無用に広がり、漏えい時のリスクも増大します。
番号法上の安全管理措置の枠組み
個人情報保護委員会のガイドライン(特定個人情報の適正な取扱いに関するガイドライン)は、安全管理措置を以下 4 区分で整理しています。
| 区分 | 内容 | 士業事務所での代表例 |
|---|---|---|
| ① 組織的安全管理措置 | 取扱責任者の設置、取扱規程の整備、漏えい事案対応体制 | マイナンバー取扱責任者の任命、取扱規程の作成、事故報告フロー |
| ② 人的安全管理措置 | 事務取扱担当者の教育、秘密保持誓約書 | スタッフ研修、誓約書取得、退職時の機密返却 |
| ③ 物理的安全管理措置 | 取扱区域の管理、機器・電子媒体・書類の管理、持出・廃棄 | 施錠キャビネット、入退室記録、廃棄証明書付き溶解処理 |
| ④ 技術的安全管理措置 | アクセス制御、不正アクセス防止、漏えい防止 | 暗号化、認証強化、ログ監査、ウイルス対策 |
4 区分すべてを「規程化+実装+運用記録」の 3 段階で整える必要があります。「規程はあるが実装が伴っていない」状態は監査時に問題視されやすく、定期的な棚卸しが必要です。
技術的安全管理措置の具体的な構築
① ファイル・データの暗号化
- ストレージレベルの暗号化: AWS S3 のサーバーサイド暗号化、Microsoft 365 / Google Workspace の標準暗号化
- ファイルレベルの暗号化: マイナンバーを記載した PDF・Excel に個別パスワード設定(パスワードは別チャネルで送付)
- 通信の暗号化: 必ず HTTPS(TLS)通信。メールで送付する場合は S/MIME 等の暗号化を検討し、PPAP(パスワード付き ZIP ファイルをメール送付し同じメール経路でパスワードを別送する方式)は避ける。クラウドストレージを利用する場合も、共有先限定・有効期限設定・ダウンロード制限・アクセスログ確認を必ず設定する
② アクセス制御
- 最小権限の原則: マイナンバー閲覧権限はマイナンバー取扱責任者と担当者に限定。一般スタッフはアクセス不可
- 多要素認証(MFA)の義務化: ID/パスワードだけでなく、認証アプリ・SMS・FIDO キーの組合せ
- 強固なパスワードポリシー: 12 文字以上の長く推測されにくいパスワード、サービスごとの使い回し禁止、パスワードマネージャーの利用、漏えい・退職・権限変更時の即時変更(一律の定期変更を強制すると単純化・使い回しを招くため、長く一意なパスワード+ MFA を重視)
③ ログ監査
- アクセスログ取得: 誰がいつどのファイルにアクセスしたかを記録
- 操作ログ取得: ダウンロード・コピー・印刷・削除の操作履歴
- ログ保管期間: 事務所のリスク・契約・規程に応じて設定。少なくとも一定期間追跡できるよう 1 年程度を目安に、重要度の高い情報はより長期保管も検討(法令上の一律義務ではなく実務上の推奨目安)
- 定期的なログレビュー: 月次で不審アクセスがないか確認
④ エンドポイントセキュリティ
- 業務 PC・スマートフォンのウイルス対策(EDR 推奨)
- OS・ブラウザ・業務ソフトの自動更新設定
- 業務端末の盗難・紛失時のリモートワイプ機能
- 私物 PC・USB の業務利用禁止(BYOD は厳格な管理下でのみ許可)
人的安全管理措置
マイナンバーの漏えい事案の多くは、技術的な攻撃よりも人為的ミス・内部不正に起因します。人的措置は番号法対応の中で投資対効果が最も高い領域です。
- ✓マイナンバー取扱責任者の任命
事務所内で 1 名(複数事務所なら拠点ごとに)任命。責任範囲・権限を文書化 - ✓事務取扱担当者の限定
マイナンバーに触れる業務担当者を限定列挙し、それ以外のスタッフはアクセス不可 - ✓秘密保持誓約書の取得
採用時・職務変更時に書面で取得。退職時は機密返却・口外禁止条項を含む - ✓定期的な研修
年 1 回以上、マイナンバー・個人情報の取扱研修を全スタッフに実施。受講記録を保管 - ✓事故対応フローの整備
漏えい・紛失・誤送付発見時の報告・初動対応のフロー図。個人情報保護委員会への速報(概ね 3〜5 日以内)・確報(原則 30 日以内、不正の目的で行われたおそれがあるものは 60 日以内)の期限を踏まえた手順 - ✓委託先管理
クラウドサービス・印刷会社・廃棄業者など外部委託先の安全管理体制を契約書で確認
物理的安全管理措置
- ✓取扱区域の管理
マイナンバー記載書類を扱う区域を限定。来訪者の入室制限 - ✓施錠キャビネット
マイナンバー記載の紙書類は施錠できるキャビネット・金庫に保管。鍵管理者を明確化 - ✓クリアデスクポリシー
離席時・退勤時の机上にマイナンバー記載書類を残さない。スクリーンロックの徹底 - ✓媒体の持出制限
USB・外付け HDD でのマイナンバー持出を原則禁止。やむを得ない場合は記録と暗号化 - ✓廃棄方法
紙は復元困難な水準のクロスカットシュレッダー(一般に細断幅が小さいほど安全)または専門業者による溶解処理+廃棄証明書取得。電子媒体は物理破壊または専門業者によるデータ消去 - ✓事務所の入退室管理
営業時間外・休日の施錠、警備会社との契約、来客記録の保管
クラウド利用時の特に注意すべきポイント
近年は Google Workspace・Microsoft 365 など、海外データセンターをデフォルトとするクラウドサービスを使う事務所が増えました。マイナンバーの取扱いには以下のチェックが必要です。
- データの保管リージョン: 国内リージョンに保管できる設定があるか。「日本国内のみ」を選べるサービスを優先
- 運営事業者の安全管理体制: ISMS(ISO/IEC 27001)認証、プライバシーマーク、SOC2 報告書の確認
- 委託契約書での安全管理義務: 個人情報保護委員会のガイドラインに準拠した条項の有無
- 従業員アクセスのコントロール: 運営事業者の従業員がマイナンバーにアクセスできない設計か
- 解約時のデータ削除: 解約時にデータが完全削除される証跡が得られるか
業務系 SaaS でマイナンバーを扱う場合、「マイナンバー対応プラン」「特定個人情報対応」を明示しているサービスを選ぶのが最低条件です。それでも独自の安全管理措置(暗号化キーの管理など)まで詰めるなら、受託開発で事務所専用環境を構築する選択肢が現実的になります。
マイナンバー安全管理措置の導入フロー
- Step1現状の棚卸しマイナンバーを扱う業務・関与スタッフ・利用ツール・保管場所・廃棄方法を一覧化。ガイドラインとのギャップを可視化
- Step2取扱規程の作成事務所のマイナンバー取扱規程・個人情報保護規程・事故対応規程を整備
- Step3取扱責任者の任命と教育取扱責任者を任命、事務取扱担当者を限定、研修と誓約書取得
- Step4物理環境の整備施錠キャビネット、入退室管理、シュレッダーまたは溶解処理契約
- Step5技術環境の整備暗号化、アクセス制御、多要素認証、ログ監査、エンドポイントセキュリティの導入
- Step6運用開始と定期点検運用記録の保管、四半期ごとの内部監査、年 1 回の規程見直し
漏えい事案発生時の対応フロー
個人情報保護法の改正(令和 4 年 4 月施行)により、個人情報の漏えい等で一定の要件に該当する場合、個人情報保護委員会への報告と本人への通知が義務化されました。マイナンバー(特定個人情報)の漏えい事案は、より厳格な対応が求められます。
- 速報(覚知から概ね 3〜5 日以内): 個人情報保護委員会へ速報。事案の概要・原因・被害状況など
- 確報(30 日以内、不正アクセス等は 60 日以内): 詳細調査結果、再発防止策まで含む
- 本人通知: 漏えいの内容・原因・対応状況を本人に通知
- 事務所内の対応: 初動対応者の指名、証跡保全、二次被害防止、対外公表の判断
主な根拠法令・一次ソース
- 行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法・e-Gov法令検索)
- 個人情報の保護に関する法律(個人情報保護法・e-Gov法令検索)
- 個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン」
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
マイナンバー安全管理に関するよくある質問
Q. 行政書士事務所がマイナンバーを扱う業務にはどんなものがありますか?
A. 帰化申請(収入関係書類でマイナンバー記載がある場合)、在留資格申請の一部、社会保険・労務関連書類の作成支援、税理士連携での法定調書関係などです。マイナンバーを直接扱わなくても、本人確認書類として番号通知カード等を受領する場面でも、特定個人情報の取扱いに該当する場合があります。
Q. 1 人事務所でも安全管理措置の整備は必要ですか?
A. 必要です。番号法・個人情報保護法は事業者規模に関係なく適用されます。1 人事務所でも取扱規程・物理的措置・技術的措置の整備は必須で、人的措置(誓約書・研修)は本人+臨時補助者・委託先に対して行います。
Q. クラウドサービスでマイナンバーを保管してもよいですか?
A. 保管できますが、運営事業者の安全管理体制(ISMS・プライバシーマーク・SOC2)、データの保管リージョン(国内推奨)、解約時のデータ削除証跡、運営従業員のアクセス制限などを契約書・規約で確認します。「マイナンバー対応」を明示しているサービスを選ぶのが最低条件です。
Q. マイナンバー記載書類の廃棄方法は?
A. 紙は復元困難な水準のクロスカットシュレッダー、または専門業者による溶解処理+廃棄証明書の取得が標準です。電子媒体(HDD・USB)はデータ消去ソフトによる完全消去または物理破壊を行います。廃棄記録(日時・対象・実施者)の保管も必要です。
Q. 漏えい事案が発生したらまず何をすべきですか?
A. 初動として ① 被害拡大の防止(該当端末の隔離・パスワード変更)、② 事実関係の保全(ログ・通信履歴の記録)、③ 取扱責任者への報告、④ 個人情報保護委員会への速報(覚知から概ね 3〜5 日以内)、⑤ 本人通知、⑥ 再発防止策の検討の順で対応します。事務所内の事故対応フローを事前に整備しておくと、混乱を最小化できます。
安全管理環境の整備にかかるコスト目安
マイナンバー安全管理の環境整備にかかるコスト目安を、規模別に整理します。事務所規模・既存環境・SaaS/受託の選択で大きく変動します。
| 項目 | 1〜3 人事務所 | 5〜10 人事務所 | 10 人以上 |
|---|---|---|---|
| 規程整備(外部支援込み) | 10〜20 万円 | 20〜40 万円 | 40 万円〜 |
| 物理セキュリティ(金庫・キャビネット) | 5〜15 万円 | 15〜30 万円 | 30 万円〜 |
| クラウドストレージ(暗号化対応) | 月 3,000〜10,000 円 | 月 10,000〜30,000 円 | 月 30,000 円〜 |
| 多要素認証・EDR 等 | 月 5,000〜15,000 円 | 月 15,000〜50,000 円 | 月 50,000 円〜 |
| ログ管理・監査ツール | 月 5,000〜20,000 円 | 月 20,000〜80,000 円 | 受託開発含み |
| 研修・スタッフ教育 | 年 5〜10 万円 | 年 10〜30 万円 | 年 30 万円〜 |
初期投資は規模により幅があり、月額ランニング費用とあわせて事務所のリスクと比較した投資判断が重要です(規模・既存環境・SaaS/受託の選択で大きく変動するため、本表は一般的な目安)。デジタル化・AI 導入補助金(旧 IT 導入補助金)などの対象になるツールもあり、補助金を活用できる場合があります(対象は年度ごとの公募要領をご確認ください)。
TechSyncで守秘義務・番号法を踏まえたセキュリティ環境構築を相談する
士業の守秘義務・個人情報保護法・番号法を踏まえたセキュリティ/BCP の設計は、汎用ツールの寄せ集めだけでは抜け漏れが出ます。TechSync は士業特化のシステム開発会社として、文書管理・バックアップ・アクセス権限・災害対策・ログ監査までを総合的に設計・構築します。
守秘義務・法令遵守を踏まえたセキュリティ環境を構築する
ストレージ/バックアップ/アクセス権限/ログ監査を組み合わせ、士業特有のリスクに合わせて設計します。既存環境の診断からも対応可能です。
> TechSyncに相談する※ マイナンバー・特定個人情報の取扱いは「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)及び個人情報保護法、ガイドライン(個人情報保護委員会)に基づきます。具体的な実装は所属単位会・委員会・専門家の助言を踏まえてください。