マイナンバーの義務を中小事業者が押さえる——従業員・家族・業務委託・株主の収集範囲から保管・廃棄・違反ペナルティ・2026年電子化対応まで
「マイナンバー 義務 中小」で検索する経営者・人事責任者向けに、収集が必要な対象者の範囲(従業員・扶養家族・業務委託先・株主)、保管と廃棄の実務ルール、漏えい時の罰則、2026年時点の健康保険証一体化に伴う運用変更までを、公的情報源にあたる順序で整理します。
「マイナンバー 義務 中小」で検索している人が本当に知りたいのは、制度概要ではなく、自社で誰から何を集め、どう保管し、いつ捨て、漏らしたら何が起きるかという実務の境界線です。本記事は2026年6月時点の制度を前提とします。収集対象者の範囲、中小規模事業者向けに簡略化された安全管理措置、保管・廃棄ルール、違反ペナルティ、健康保険証一体化に伴う運用変更まで、公式情報源に当たれる順序で整理する構成です。最終的な判断は個人情報保護委員会と国税庁の公式情報で必ず確認してください。
1. マイナンバー制度を巡る2026年時点の現在地
マイナンバー制度は2016年1月の本格運用開始から10年が経過し、健康保険証との一体化、e-Tax・eLTAXでの利用拡大、行政手続きのオンライン化が並行で進んでいます。事業者が押さえるべき軸は二つです。一つは番号利用法に基づく収集・保管・廃棄の枠組み、もう一つは個人情報保護法に基づく安全管理措置です。マイナンバーは個人情報の中でも特別な保護が課された「特定個人情報」として、両法の規律を同時に受ける構造になっています。
中小事業者が混乱しやすいのは、「税理士に任せているから関係ない」「従業員数が少ないから免除される」という誤解です。税理士は税務書類の作成代行を担うものの、従業員からの番号収集・本人確認・保管・廃棄の責任は事業者本人に残ります。従業員数が100人以下でも収集義務そのものは免除されず、安全管理措置の一部が簡略化されるのみです。実務で起きやすいのは、収集タイミングの遅れ、本人確認書類の不備、退職者の番号を削除せず放置するケースで、いずれも個人情報保護委員会の年次報告で漏えい事案として継続的に報告されています。
2026年時点では、マイナンバーカードと健康保険証の一体化(マイナ保険証)への移行が中盤に差しかかっており、新入社員受入や退職手続きの実務フローが変化している最中です。
出典:個人情報保護委員会 マイナンバー(特定個人情報)の取扱い / 国税庁 法定調書関係 社会保障・税番号制度 / デジタル庁 マイナンバー制度2. 国内法制の三層構造
中小事業者の義務を理解する前提として、関係する法律が三層に分かれている構造を押さえます。
2.1 番号利用法が定める利用範囲
番号利用法は、マイナンバーを社会保障・税・災害対策の3分野でしか利用できないと限定しています。事業者が従業員のマイナンバーを使えるのは、源泉徴収票の作成、健康保険・厚生年金の届出、雇用保険の届出、労災保険の請求といった、法律で定められた事務に限られます。社員名簿への併記、社内ID代わりの利用、人事評価データへの紐付けは、いずれも目的外利用として禁止されている領域です。
利用目的の特定と本人通知も求められており、収集時点で「給与所得の源泉徴収票作成事務、健康保険・厚生年金保険届出事務」のように具体的な事務名で利用目的を伝える必要があります。包括的に「人事労務管理のため」とだけ通知する運用は、利用目的の特定義務を満たさないと解釈されます。
2.2 個人情報保護法の安全管理措置
マイナンバーを含む情報は「特定個人情報」として、通常の個人情報よりも厳格な安全管理措置が求められます。組織的・人的・物理的・技術的の4区分の措置で、誰が責任者で、誰が取扱者で、どの場所で扱い、紙とデータでどう保管し、廃棄時にどう処理するかを書面化した取扱規程の整備が前提となります。
中小規模事業者(従業員数100人以下)には簡略化措置が用意されており、責任者と取扱者の分離体制までは求められず、取扱責任者1名で運用する形が認められています。一方で、アクセス制御・データの暗号化・廃棄時の復元不能化といった技術的安全管理措置は、規模に関わらず原則として必要です。ここを省略するとインシデント発生時に「適切な措置を講じていなかった」と評価されます。
2.3 税務関連法の書類記載義務
所得税法、地方税法、健康保険法、厚生年金保険法など個別の法律が、マイナンバーを記載した書類の作成と提出を事業者に義務付けています。源泉徴収票、給与支払報告書、健康保険被保険者資格取得届、雇用保険被保険者資格取得届、報酬支払調書などが代表例で、これら書類の保存期間(多くは7年)がマイナンバー保管期間の上限を規定します。電子提出が進む中で、eLTAX・e-Tax・e-Govでのマイナンバー入力が標準化されており、申請完了画面の保管や送信履歴の出力をルーチン化する必要があります。
出典:個人情報保護委員会 特定個人情報の適正な取扱いに関するガイドライン(事業者編) / 国税庁 法定調書の種類と提出方法3. 中小事業者が収集すべき対象者の範囲
実務で最初に詰まるのが、誰から集めるかの線引きです。法人取引先は法人番号で代替できるため、収集対象は限定されます。
3.1 従業員と扶養家族
正社員、契約社員、パート、アルバイトを問わず、給与を支払う全員から収集します。短期雇用の日雇いアルバイトでも、源泉徴収票を発行する以上は対象に含まれます。扶養家族については、配偶者控除・扶養控除を適用する家族と、健康保険の被扶養者として届出する家族の二つの局面で必要です。
雇入れ時に給与所得者の扶養控除等(異動)申告書とともに本人と家族分の番号を一括で集めるのが、後の手戻りを減らす実務的な順序となります。中途入社や扶養者の変動が発生した時点で追加収集する形も並行で必要です。
3.2 業務委託先の個人事業主
業務委託先は、法人なら法人番号、個人なら状況により対応が分かれます。マイナンバー収集が必要なのは「報酬支払調書の提出対象となる支払い」を行う場合に限定され、具体例は弁護士・税理士・社会保険労務士等の士業報酬、原稿料、講演料、デザイン料、外交員報酬などです。年間支払額が一定基準を超える場合に支払調書提出義務が生じる構造のため、すべての業務委託先から無条件に集める必要はありません。
継続的な業務委託契約を結ぶフリーランスについては、契約締結時の収集を標準フローに組み込むのが実務的な選択となります。
3.3 株主と不動産賃貸の支払先
配当金や剰余金の分配を行う場合、配当等の支払調書の対象となる株主からマイナンバーを収集する必要があります。同族会社で家族が株主になっているケースは特に見落としやすく、配当を出した時点で支払調書提出義務が生じる構造を意識する必要があります。不動産の使用料を個人へ支払う場合(事務所・店舗・駐車場・看板設置場所等の賃料)も、不動産の使用料等の支払調書の対象となる範囲で収集対象です。法人所有の物件なら法人番号で代替できるため、賃貸借契約書の貸主名義をまず確認する作業が起点となります。
出典:国税庁 報酬・料金等の支払調書 / 国税庁 マイナンバー(社会保障・税番号制度)4. 海外比較:米国SSN・EU GDPR・英国NIから見える位置付け
海外の類似制度と比較すると、日本の制度の特徴と中小事業者の負担構造が見えやすくなります。米国では社会保障番号(SSN)が事実上の国民番号として機能しており、雇用主はForm I-9での身元確認とForm W-4でのSSN収集を行います。連邦税の源泉徴収と社会保障税を給与から控除しIRSへ報告する仕組みは、日本の源泉徴収・年末調整制度と類似の構造です。一方でSSNの保管・廃棄に関する連邦統一法は存在せず、州ごとのデータ保護法(カリフォルニア州CCPA等)と業種別規制(HIPAA・GLBA等)の組み合わせで規律されています。
EUでは加盟国ごとに独自の国民番号があり、GDPR第87条が国民番号の利用には加盟国法による追加保護を要求しています。越境取引では複数法域への対応が求められる構造で、eIDAS規則の2024年改正により、EU共通の電子身元確認の枠組み(EU Digital Identity Wallet)が整備中の段階にあります。英国の国民保険番号(NINo)は雇用・税務・社会保障給付に紐付く番号で、税務・雇用・社会保障・年金以外への利用範囲は日本より広く認められています。日本の番号利用法が3分野(社会保障・税・災害対策)に限定する構造は、世界的に見ても利用範囲を狭く規律する部類に入る整理です。
出典:IRS Employment Taxes / GDPR Article 87 / UK Government National Insurance Number5. 中小事業者が最初に押さえる3つの線
法律全体を網羅する前に、運用で詰まる確率の高い三つの境界線を最初に固める順序が現実的です。
5.1 本人確認の二段階要件を例外なく守る
マイナンバー収集時の本人確認は「番号確認」と「身元確認」の二段階が法律で求められています。番号確認はマイナンバーカード、通知カード(記載事項に変更がないもの)、住民票記載事項証明書(マイナンバー入り)のいずれかです。身元確認はマイナンバーカード(番号確認と兼用可)、運転免許証、パスポート等の公的身分証となります。マイナンバーカード1枚で両方を兼ねるのが最も簡便で、ここを起点に運用設計するのが手戻りの少ない形です。オンライン収集の場合も、画像アップロード時に番号面と顔写真面の両方を確認する仕組みが必要です。
5.2 利用目的の特定と本人通知をテンプレ化する
収集時に伝えるべき利用目的は、抽象的に「人事労務管理」と書くのではなく、源泉徴収票作成事務・給与支払報告書作成事務・健康保険厚生年金保険届出事務・雇用保険届出事務のように、根拠法令に紐付く事務名を列挙する形が求められます。新入社員受入時の書類セットに利用目的通知書をテンプレートとして組み込み、本人の署名または受領記録を残す運用にすると、後の監査対応で説明根拠が確保できます。利用目的の追加が必要になった場合は、本人への再通知が必要です。
5.3 保管場所と取扱責任者を一元化する
特定個人情報の取扱責任者を1名定め、保管場所を物理・論理ともに一箇所に集約する設計が、中小規模事業者にとって最も維持しやすい形です。紙の収集書類は鍵付きキャビネット、電子データは特定個人情報専用フォルダ(アクセス権限制限・暗号化)に保管し、取扱記録を簡易な台帳で管理する運用が標準的となります。クラウド人事システムや給与計算SaaSを使う場合、サービス提供事業者との委託契約に「特定個人情報の取扱いに関する条項」が含まれていることを確認します。
出典:個人情報保護委員会 特定個人情報ガイドライン(事業者編) / デジタル庁 公的個人認証サービス(JPKI)6. 違反・事故が起きた事例から見るリスクの実像
実際に起きたインシデントとその後の措置を確認することで、自社のリスク管理レベルを校正できます。個人情報保護委員会が年次で公表する施行状況では、特定個人情報の漏えい等事案が継続的に報告されています。多いパターンは三つです。紙書類の誤交付・誤送付、マイナンバー記載ファイルのメール誤送信、システム委託先での管理不備(クラウドストレージの設定ミスによる外部公開)が代表例となります。いずれも技術的に高度な攻撃ではなく、日常業務の運用ミスから生じる事案が大半を占めます。
漏えい等事案が発生した場合、事業者は個人情報保護委員会への報告と本人への通知が義務付けられています。重大事案については速報(概ね3〜5日以内)と確報(30日以内)の二段階の報告が必要で、報告内容には漏えいの経緯、影響範囲、原因、再発防止策が含まれます。報告を怠ると行政指導・命令、最終的には罰則の対象となる構造です。
海外との対比では、GDPR下で国民番号を含むデータの不適切な取扱いに対し、年間売上高の4%または2,000万ユーロのいずれか高い額を上限とする制裁金が課される構造になっています。日本の番号利用法違反による刑事罰は、上限が懲役4年または罰金200万円と金額面では小さく見える側面はあります。一方で実務上は刑事罰と並行して損害賠償請求、行政指導・命令、社会的信用の毀損が同時に発生するため、実質的な経営インパクトは罰金額の数倍に達するケースが珍しくありません。
出典:個人情報保護委員会 施行状況 / GDPR Enforcement Tracker / 独立行政法人情報処理推進機構 情報セキュリティ10大脅威7. 社内ガバナンス設計と2026年のマイナ保険証対応
中小規模事業者向けの簡略化措置を活用しても、整備すべき最小構成は明確です。第一に特定個人情報取扱規程(A4で5〜10枚程度)を作成し、利用目的・取扱責任者・収集保管廃棄の手順・漏えい時の対応フローを明文化します。第二に委託先一覧(給与計算ソフト、税理士、社労士、クラウドサービス等)と委託契約書を整備し、委託先での取扱状況を年1回程度確認する運用を組みます。第三に取扱者向けの教育を最低年1回実施し、受講記録を残す形を整えます。教育内容は、利用目的の範囲、誤送信・誤交付の防止、漏えい発生時の即時報告、机上の書類放置禁止、私物USB持込禁止といった日常運用での具体的な禁止事項と推奨事項の徹底が中心です。
2024年12月の健康保険証新規発行停止以降、新入社員受入と退職手続きのフローが段階的に変化しています。新入社員へは、健康保険被保険者証の発行・郵送に代わり、マイナポータルでの保険証利用登録の案内が中心となりました。マイナンバーカードを保有していない従業員には、資格確認書(健康保険組合または協会けんぽが発行)が交付される並行運用が当面継続する見込みです。退職時の手続きでは、マイナ保険証は資格喪失と同時にマイナンバー側で資格情報が更新される仕組みで、従来のような被保険者証回収の手続きは原則不要となります。最新の取扱いは加入する健保組合または協会けんぽの公式通知で必ず確認してください。
ガバナンス整備を一度に完璧に進めようとすると挫折しやすいため、優先順位を絞った段階的な整備が現実的です。最初の段階で収集対象者リストの棚卸し、利用目的通知書のテンプレ化、取扱責任者の任命と取扱規程の暫定版作成までを完了させます。次の段階で委託先契約書の特定個人情報条項の確認、保管場所の物理・論理の集約、漏えい時対応フローの文書化に進む流れです。最終段階で教育プログラムの定着、内部監査の年次実施、安全管理措置の継続的見直しを組み込む形が、中小規模事業者が無理なく到達できる現実的な到達点となります。
出典:厚生労働省 マイナンバーカードの健康保険証利用について / 全国健康保険協会 マイナ保険証について / 個人情報保護委員会 中小規模事業者向けガイドラインよくある質問
従業員以外でマイナンバーを集める必要がある相手は誰か
扶養家族、業務委託先のうち報酬支払調書の提出対象となる個人(弁護士・税理士・原稿料・講演料等)、配当金等の支払調書対象株主、不動産賃料の支払先個人が代表例です。法人取引先は法人番号で代替できるため、個人マイナンバーの収集は不要となります。
従業員が提出を拒否した場合、解雇できるか
拒否を理由にした解雇は原則として認められていません。国税庁の通達では、提供を求めた経緯を記録し、それでも提出されない場合は番号未記載のまま書類を提出する運用が認められています。経緯記録が税務調査での説明根拠になるため、誰がいつ依頼し誰が拒否したかを書面化しておく対応が現実解です。
何年保管していつ廃棄するのか
法定保存期間(給与所得者の扶養控除等申告書は7年、源泉徴収票関係は7年など)が終わるまで保管します。退職等で利用目的が終了し、かつ法定保存期間も満了した時点で、速やかに廃棄または削除する義務があります。退職者の番号を根拠なく持ち続ける運用は、個人情報保護法上の問題が生じます。
従業員10人未満でも安全管理措置は必要か
必要です。中小規模事業者(従業員100人以下)向けの特例として組織的安全管理措置の一部が簡略化されており、取扱責任者1名で取扱規程を整える形で足ります。技術的安全管理措置(アクセス制御・暗号化等)は規模に関わらず原則として必要となります。
業務委託先(フリーランス)からはどう集めるか
報酬支払調書の提出対象となる支払い(弁護士報酬・原稿料・講演料等)のみ収集します。書面または専用フォームで番号確認書類と身元確認書類の二点を確認し、記録を残す形です。電子的な収集ツールでも本人確認の二段階要件は同じ扱いとなります。
漏えいが起きた場合のペナルティはどの程度か
番号利用法違反による刑事罰は、正当な理由なく特定個人情報ファイルを提供した場合に4年以下の懲役または200万円以下の罰金(両罰規定で法人にも罰金)など複数の構成要件が定められています。加えて報告義務違反の行政処分、損害賠償請求が並行します。2026年時点の実例は個人情報保護委員会の年次報告で確認してください。
マイナ保険証への一体化で事業者の手続きは何が変わったか
2024年12月以降、健康保険証の新規発行が原則停止され、新入社員へは保険証カード発行に代わり本人がマイナポータルで利用登録を行う案内が中心となりました。マイナ保険証を持たない従業員には資格確認書が交付される並行運用が継続中です。最新の取扱いは協会けんぽまたは加入する健保組合の公式通知で必ず確認してください。
まとめ
マイナンバーの義務を中小事業者が押さえる際の核は、誰から集めるか、どう保管するか、いつ捨てるか、漏らしたら何が起きるかの四点を、最終確認先の公式情報源に当たれる順序で整理することです。本記事の論点は2026年6月時点の制度を前提としていますが、健康保険証一体化の進行や個人情報保護委員会のガイドライン改定が継続しているため、運用判断は個人情報保護委員会・国税庁・厚生労働省の公式情報で最終確認してください。中小規模事業者向けの簡略化措置が用意されているとはいえ、本人確認の二段階要件、利用目的の特定、技術的安全管理措置は規模を問わず必要となります。漏えい事案の多くが日常運用のミスから生じる構造を踏まえると、整備の優先順位は完璧なシステム導入より、現場の運用ルールの明文化と教育の定着に置くほうが投資対効果が高くなる傾向があります。
今日からの3つの行動:
- 自社のマイナンバー収集対象者(従業員・扶養家族・業務委託先・株主・不動産賃貸の支払先)を棚卸しし、現在保有している番号の管理状況を確認する
- 特定個人情報取扱規程の暫定版(利用目的・取扱責任者・収集保管廃棄の手順・漏えい時対応フロー)を作成し、取扱者全員に共有する
- 個人情報保護委員会の中小規模事業者向けガイドラインと、加入する健康保険組合のマイナ保険証関連の最新通知を入手し、自社の運用フローと差分を確認する