税理士事務所がマイナンバーを漏洩させたらどうなるか——「保管しているだけ」では終わらない話

税理士事務所は、ほぼ例外なくマイナンバーを扱っています。顧問先の従業員の源泉徴収票、年末調整、社会保険手続き——これらにマイナンバーが紐づいている以上、事務所のPCの中にはかなりの数のマイナンバーが存在しているはずです。

では、そのデータを「誰が・どの端末で・どのフォルダに」保管しているか、今すぐ答えられますか。答えられない場合、それ自体がすでにリスクです。

マイナンバー管理に課せられている法的義務

マイナンバー法は、特定個人情報について通常の個人情報保護法よりも厳しい管理義務を定めています。利用目的の限定、安全管理措置、そして廃棄義務——利用目的が終わったら「速やかに廃棄」しなければなりません。「念のため保管」は義務違反です。

顧問先A社の従業員が退職した場合、その人のマイナンバーは廃棄が必要になります。しかし実際には、「念のため数年分まとめて取っておく」「担当者が変わった際に引き継ぎされずそのまま」という状態が残っています。これは義務違反です。

マイナンバーの保管場所が分からない——担当者のローカルPCに保存されていると、退職やPC故障の際に追跡できなくなります。

管理台帳が存在しない——誰のマイナンバーをどこに保管しているかの記録がない状態は、漏洩時の対応を極めて困難にします。

アクセスできる人間が多すぎる——担当者以外の全職員がアクセスできる設定になっている事務所があります。

PCが盗難にあい、顧問先3社分・合計50名のマイナンバーが流出したとします。個人情報保護委員会への速報（3〜5日以内）、顧問先3社への報告・謝罪、50名の従業員への個別通知、税理士会への報告、再発防止策の策定——この対応を進めながら、通常業務も並行させる必要があります。

マイナンバーを含むデータの保管場所を管理者が把握しているか。フォルダへのアクセスが担当者に限定されているか。廃棄ルールが決まっているか。PC紛失時にデータを遠隔削除できる設定になっているか。

▶ 士業向けIT・セキュリティ整備サービス

行政書士事務所みまもり / セキュリティ研究者・デジタルフォレンジックエンジニア成田浩志