社労士のマイナンバー管理|安全管理措置と委託先対応の完全ガイド【2026年版】
お役立ち情報

社労士のマイナンバー管理|安全管理措置と委託先対応の完全ガイド【2026年版】

2026年7月16日20分で読める

この記事の結論 社労士事務所は顧問先従業員のマイナンバー(特定個人情報)を大量に預かるため、番号法第12条に基づく安全管理措置(組織的・人的・物理的・技術的の4分類)が必須です。重要なのは、社労士事務所は「委託に基づき個人番号関係事務を業務として行う事業者」に当たり得るため、従業員100人以下でも中小規模事業者の特例の対象外となる可能性が高い点です(ガイドライン別添1・令和6年5月一部改正版)。クラウド保管は委託・再委託の論点を伴い、義務の主体は常に社労士事務所自身です。電子申請はe-Gov等の既存手段で行い、社労士HUBは「安全な保管・受け渡し(書類管理)」を支援します。

社労士事務所は、顧問先の入退社手続きや年末調整を通じて、大量の従業員マイナンバーを日常的に取り扱います。しかし「自社従業員の番号を管理する一般企業」と「顧問先から委託を受ける社労士」では、求められる対応の前提が異なります。本記事は、番号法と個人情報保護委員会のガイドライン(令和6年5月一部改正版)を一次ソースとして、社労士事務所が「何を・どこまで義務として行うべきか」を条文付きで整理します。特に見落とされがちな中小規模事業者の特例の扱いと、クラウド保管に伴う委託・再委託の論点に踏み込みます。

社労士のマイナンバー管理とは?まず押さえる結論と4分類

マイナンバー(個人番号)を含む情報は「特定個人情報」と呼ばれ、通常の個人情報より厳格な取扱いが求められます。番号法第12条は、すべての事業者に対して特定個人情報の安全管理措置を講じる義務を定めており、社労士事務所も当然この対象です。

特定個人情報の安全管理措置とは(定義)

安全管理措置とは、特定個人情報の漏えい・滅失・毀損を防ぐために事業者が講じる管理上の措置の総称です。個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編・令和6年5月一部改正版)」別添1は、この措置を組織的・人的・物理的・技術的の4分類で体系化しています。ツールの導入だけで完結するものではなく、規程の策定や担当者教育といった「運用」を伴う点が特徴です。

組織的・人的・物理的・技術的の4分類

4分類はそれぞれ役割が異なります。組織的措置は体制整備・取扱規程の運用・取扱状況の確認・漏えい対応体制など5項目、人的措置は担当者の監督と教育の2項目、物理的措置は区域管理・盗難防止・媒体持ち運び対策・廃棄の4項目、技術的措置はアクセス制御・識別認証・不正アクセス防止・通信や保存データの暗号化の4項目で構成されます(個人情報保護委員会ガイドライン別添1)。

安全管理措置の4分類の概念図
安全管理措置の4分類の概念図

社労士は中小規模事業者の特例を使えるのか

従業員100人以下の事業者には、安全管理措置を一部簡略化できる「中小規模事業者」の特例的対応が認められています。しかし社労士事務所がこれを使えるかは、慎重な確認が必要です。

結論:特例の対象外となる可能性が高い

結論から述べると、社労士事務所は従業員が100人以下でも特例の対象外となる可能性が高いと考えられます。ガイドライン別添1は、中小規模事業者から「委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者」を明確に除外しているためです(個人情報保護委員会ガイドライン・令和6年5月一部改正版)。社労士事務所は顧問先の委託を受けて手続事務を行う立場であり、この除外に該当すると解されます。

中小規模事業者の特例 判定フロー
中小規模事業者の特例 判定フロー

根拠(ガイドライン別添1の除外規定・番号法第12条)

特例と除外の根拠はいずれも同ガイドライン別添1の「中小規模事業者」の定義部分にあります。除外対象には、委託に基づき事務を業務として行う事業者のほか、個人番号利用事務実施者、金融分野の事業者、過去6か月で5,000人超の特定個人情報を取り扱った事業者が含まれます。ただし個別の業務実態によって判断が分かれ得るため、断定はせず、個人情報保護委員会や専門家への確認をおすすめします。

収集・保管・利用・廃棄の4フェーズ別 具体的対応

実務では、マイナンバーを「収集→保管・利用→廃棄」の流れで取り扱います。4分類の措置をこの時間軸に沿って整理すると、対応の抜け漏れを防げます。

4分類×4フェーズのマトリクス早見表
4分類×4フェーズのマトリクス早見表

収集:本人確認と安全な受け渡し

本人から個人番号の提供を受ける際は、番号法第16条により本人確認(番号確認と身元確認)が義務付けられています。また、提供が認められる場合を除き他人に番号の提供を求めてはならず(同法第15条)、収集・保管にも制限があります(同法第20条)。顧問先従業員から書類を集める段階では、のぞき見や紛失を防ぐ安全な受け渡し経路の確保が重要です。

保管・利用:アクセス制御と利用制限

番号法第9条は個人番号を利用できる事務を社会保障・税・災害対策などの特定の事務に限定しており、利用目的を超えた利用は禁止されます(番号法第30条で読み替えて適用される個人情報保護法の利用目的による制限の規定)。保管時は、技術的安全管理措置としてアクセス制御・アクセス者の識別認証・通信経路や保存データの暗号化を講じ、担当者以外が番号に触れられない状態を維持します。

廃棄:書類別の保存期間と復元不可能な削除

マイナンバー自体に固有の保管期間はなく、事務に必要なくなり所管法令の保存期間が経過したら、できるだけ速やかに復元不可能な手段で削除・廃棄します(個人情報保護委員会ガイドライン別添1)。保存期間は書類で異なり、源泉徴収票・扶養控除等申告書などは7年、雇用保険関係は4年、労災保険関係は3年、社会保険関係は2年が一般的とされます(各法令の保存期間規定)。

マイナンバー記載書類の法定保存期間早見表
マイナンバー記載書類の法定保存期間早見表

クラウド保管と委託先管理の考え方

社労士事務所は顧問先から見れば「監督される委託先」ですが、クラウドSaaSを使えば自らが「監督する委託者」にもなります。この二重の立場を理解することが、委託先管理の出発点です。

委託・再委託の許諾の連鎖(顧問先→社労士→クラウド)

番号法第10条は、委託を受けた者が再委託する場合、委託者の許諾を得たときに限り認められると定めています。顧問先(委託者)→社労士(受託者)→クラウド事業者(再委託先)という連鎖では、社労士がクラウドに番号を預ける行為が再委託に該当し得ます。なお、クラウド事業者が保存データを取り扱わないと整理できる場合は委託に当たらないとする議論(クラウド例外)もあり、該当する場合は顧問先の許諾を得る、という条件付きで判断します。

顧問先→社労士→クラウドの委託・再委託の連鎖図
顧問先→社労士→クラウドの委託・再委託の連鎖図

委託契約に盛り込むべき条項チェックリスト

番号法第11条は委託者に「必要かつ適切な監督」を義務付けており、これは委託先の適切な選定・安全管理措置を遵守させる契約の締結・取扱状況の把握を含みます。契約には、秘密保持義務、目的外利用の禁止、再委託の条件、漏えい時の責任、契約終了後の返却や廃棄、従業者の監督や教育、報告義務などを盛り込みます。顧問先との契約とクラウド事業者との契約の両面で確認しましょう。

安全な書類回収を支援する仕組み(社労士HUBの位置づけ)

社労士HUBは、収集段階の安全な受け渡しと保管を支援するツールです。ログイン不要のURL・スマホ撮影でのアップロード・通信経路の暗号化・アクセス権限の設定は、ガイドラインが求める収集時の安全な受け渡しや技術的安全管理措置(アクセス制御・識別認証・通信経路の暗号化)に対応します。

社労士HUBが担うのは「安全な保管・受け渡し(書類管理)」です。マイナンバーの行政提出そのものはe-Gov等の既存手段で行う前提で、申請ソフトと併用できます。ツールは措置の実装を助けますが、規程策定・教育・監督といった組織的・人的措置の運用、そして安全管理措置の義務の主体が社労士事務所自身である点は変わりません。

よくある質問

社労士事務所は中小規模事業者の特例(従業員100人以下の特例的対応)を使えますか?

対象外となる可能性が高いです。ガイドライン(令和6年5月一部改正版)別添1は、中小規模事業者から「委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者」を除外しています。社労士事務所は顧問先の委託を受けて業務を行うため、従業員100人以下でもこの除外に該当すると解されます。ただし個別の業務実態で判断が分かれ得るため、個人情報保護委員会や専門家への確認をおすすめします。

マイナンバーが記載された書類は何年保管すればよいですか?

書類の種類で異なります。源泉徴収票・扶養控除等申告書などは7年、雇用保険関係は4年、労災保険関係は3年、健康保険・厚生年金保険関係は2年が一般的とされます(各根拠法令の保存期間規定)。マイナンバー自体に固有の保管期間はなく、事務に必要なくなり保存期間が経過したら、できるだけ速やかに復元不可能な手段で廃棄します。

社労士HUBでマイナンバーの電子申請(e-Gov提出)はできますか?

できません。電子申請はe-Govなどの既存手段で行います。社労士HUBはマイナンバーの行政提出そのものではなく、申請前後の「安全な保管・受け渡し(書類管理)」を支援する位置づけです。既存の申請ソフトと併用する前提で、管理の部分だけを補います。

顧問先から預かったマイナンバーをクラウドに保管するのは委託・再委託にあたりますか?

該当し得るため、顧問先の許諾が必要になる場合があります。番号法第10条は、委託者の許諾を得た場合に限り再委託できると定めています。一方、クラウド事業者が保存データを取り扱わないと整理できる場合は委託に当たらないとする議論(クラウド例外)もあります。該当する場合は許諾を得る、という条件付きで判断してください。

安全管理措置を怠ってマイナンバーが漏えいした場合の罰則は?

事務に従事する者が正当な理由なく特定個人情報ファイルを提供した場合、行為者は4年以下の懲役または200万円以下の罰金(併科あり・番号法第48条)、法人には1億円以下の罰金(同法第57条)が定められています。不正な利益を図る目的での提供・盗用は、行為者3年以下の懲役または150万円以下の罰金(同法第49条)です。

まとめ

社労士事務所は顧問先のマイナンバーを預かる立場として、番号法第12条に基づく4分類の安全管理措置が求められます。中小規模事業者の特例は対象外となる可能性が高く、簡略化を前提にしないことが安全です。クラウド保管では委託・再委託の許諾と委託先監督の論点が生じます。ツールは収集・保管・受け渡しの実装を助けますが、規程策定や教育・監督の運用は欠かせず、義務の主体は社労士事務所自身である点を忘れないでください。


顧問先の書類回収を安全に

社労士HUBは、ログイン不要URL・スマホ撮影アップロード・通信経路の暗号化で、マイナンバーを含む書類の安全な受け渡しと保管を支援します。電子申請は既存手段のまま、管理だけを任せられます。月額¥2,980/名〜・14日間無料(クレカ不要)。

無料で試す →

導入実績や個別の法対応は、無料トライアルで実際の運用に沿ってご確認ください。

まずは無料で製品を体験してください

顧問先・案件・期限管理から書類回収まで、これ1つで。月額2,980円から。

関連記事