更新日 : 2025年11月4日

マイナンバー監査のポイントとは？企業の安全管理措置と対策を解説

監修：涌井好文（社会保険労務士）

マイナンバー（個人番号）の適正な管理のため、地方自治体では定期的な内部監査が実施されています。本記事では、この自治体の内部監査で問われるポイントを詳しく解説します。

この監査ポイントは、民間企業に法律で義務付けられている「安全管理措置」と直結しており、企業が自社の体制を自主的に点検し、情報漏えいなどのリスクを回避するための具体的な指針となります。

マイナンバー収集チェックリストのテンプレート

マイナンバー収集チェックリストのテンプレートを無料で提供しています。ぜひご自由にダウンロードして活用ください。

無料でダウンロードする

マイナンバーの監査とは？
- 監査の目的
- なぜ企業にも監査の視点が必要なのか
自治体がマイナンバー監査で確認されるポイントとは？
マイナンバー監査のポイントをふまえた企業の対策とは？
マイナンバー監査のポイントを理解し主体的な安全管理体制の構築を

マイナンバーの監査とは？

マイナンバー監査とは、特定個人情報が法律やガイドラインに沿って適正に取り扱われているかを確認・評価する手続きです。主に地方自治体などが、自らの組織内で特定個人情報の管理体制が適切かどうかを点検する内部監査を指します。

企業にとっては、この監査の観点を自社の体制に当てはめて「自己点検」を行うことが、法令遵守と情報漏えいリスクの低減に不可欠です。

監査の目的

監査の目的は、特定個人情報の取り扱い状況を点検・評価し、問題点を指摘するとともに改善を促すことで、安全管理レベルの向上を図ることにあります。多摩市が公表した監査報告書でも、定められたルールが遵守されているかを確認し、課題を是正するプロセスが示されています。これは、問題発生を未然に防ぐための予防的な活動です。

参照：特定個人情報（マイナンバー）の管理に関する監査について｜多摩市

なぜ企業にも監査の視点が必要なのか

民間企業には自治体のような定期監査の直接的な義務はありませんが、マイナンバー法が定める安全管理措置を講じる義務を負っています。この義務を怠り情報漏えいなどが発生した場合、企業と担当者の両方に重い罰則が科される可能性があります。

したがって、監査で問われるポイントを理解し、主体的に自社の管理体制を点検・改善していくことが、罰則リスクを回避する上で極めて重要です。

自治体がマイナンバー監査で確認されるポイントとは？

自治体の監査で確認されるポイントは、個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」にも通じる4つの安全管理措置が正しく実施されているか、という点に集約されます。

個人情報保護委員会が公開している「監査のためのチェックリスト」は、企業が自己点検を行う際の具体的な指針となります。

参照：地方公共団体等における監査のためのチェックリスト～マイナンバーの適正な取扱いのために～｜個人情報保護委員会
参照：特定個人情報の適正な取扱いに関するガイドライン（事業者編）

1. 組織的安全管理措置

【監査のポイント】

組織として特定個人情報を管理するための体制が整備され、ルール通りに運用されているかを確認します。

事務取扱担当者の明確化：
特定個人情報を取り扱う担当者が、非常勤職員や臨時職員を含め、明確に指定されているか。
取扱規程（ルール）の整備と運用：
取得、利用、保存、提供、削除・廃棄の各段階における取扱規程が整備され、その規程通りに運用されているか。
取扱状況の記録：
特定個人情報の持ち出し記録や廃棄記録などが、規程に沿って正確に記録・保管されているか。
漏えい事案への対応体制：
漏えい事故などが発生した際の、責任者への報告連絡体制が明確に整備されているか。

2. 人的安全管理措置

【監査のポイント】

従業員が特定個人情報を適正に取り扱うための監督や教育がなされているかを確認します。

監督と教育：
事務取扱担当者に対して、特定個人情報の重要性や取扱規程に関する監督・教育が適切に行われているか。
研修の実施と管理：
役割に応じた研修（例：担当者向け、システム管理者向け）が計画的に実施され、未受講者へのフォローアップが行われているか。過去の指摘事例では、研修対象者が一部の職員に限られていたり、未受講者が放置されたりしていたケースがありました。

3. 物理的安全管理措置

【監査のポイント】

特定個人情報を含む書類や電子媒体を物理的に保護するための具体的な対策が講じられているかを確認します。「どこまでやるべきか」という疑問に直結する項目です。

区域管理：
マイナンバーを取り扱う「取扱区域」と、サーバなどを管理する「管理区域」が明確にされ、部外者の入退室管理や、持ち込む機器の制限が行われているか。
盗難・紛失の防止：
特定個人情報が記載された書類は施錠できるキャビネットや書庫で保管されているか。また、PCやサーバはセキュリティワイヤーで固定するなどの盗難防止措置が取られているか。
廃棄：
保存期間を過ぎた書類やデータが、復元不可能な手段（シュレッダー、物理的破壊など）で速やかに廃棄され、その記録が残されているか。

4. 技術的安全管理措置

【監査のポイント】

情報システムにおいて、特定個人情報を保護するための技術的な対策が講じられているかを確認します。

アクセス制御：担当者ごとにアクセスできる情報の範囲が必要最小限に限定されているか。人事異動の際に、不要になったアクセス権が速やかに削除されているか。
識別と認証：担当者が情報システムにアクセスする際のID・パスワード管理が適切に行われているか。
不正アクセス等の防止：ファイアウォールやセキュリティ対策ソフトが導入され、適切に運用されているか。

マイナンバー監査のポイントをふまえた企業の対策とは？

企業は、監査の視点を借りて自社の安全管理措置を定期的に点検し、継続的に改善していくことが求められます。具体的な対策として以下の3点が挙げられます。

1. 自己点検チェックリストの作成と活用

個人情報保護委員会が公表している「監査のためのチェックリスト」を参考に、自社の業務内容に合わせた自己点検用のチェックリストを作成・活用しましょう。これにより、網羅的かつ客観的に自社の管理状況を評価できます。

参照：地方公共団体等における監査のためのチェックリスト～マイナンバーの適正な取扱いのために～｜個人情報保護委員会

2. 定期的な点検と記録の保管

年に一度など、定期的に自己点検を実施し、その結果を記録・保管することが重要です。特に、従業員への研修記録、特定個人情報が記載された書類の廃棄証明書、情報システムへのアクセスログなどは、万が一の際に適切な管理を行っていたことの証拠となります。

3. 委託先の監督体制の確認

マイナンバー関連業務を外部に委託している場合は、特に注意が必要です。契約を締結する前に、委託先が自社と同等の安全管理措置を講じているかをあらかじめ確認しなければなりません。

また、契約終了後には、委託先がデータを確実に削除したことを証明書などで確認する必要があります。委託先任せにせず、監督責任を果たすことが法律で求められています。

マイナンバー監査のポイントを理解し主体的な安全管理体制の構築を

マイナンバー監査で問われるポイントは、法律が事業者に求める「安全管理措置」そのものです。監査が義務付けられている地方自治体の事例や、個人情報保護委員会が示すチェックリストは、すべての事業者にとって自社の体制を見直すための最良の教科書といえます。

罰則を回避し、企業の社会的信頼を守るためにも、これらの監査ポイントをふまえ、形骸化しない主体的かつ継続的な安全管理体制を構築・運用していきましょう。

人事労務の基礎知識

マイナンバーの収集方法　担当者が知っておくべき3つのポイント

マイナンバーを取り扱う業務（個人番号関係事務または個人番号利用事務。以下「個人番号事務」）には様々なルールがあり、これをよく理解しておかなければ無用なトラブルにつながるリスクがあります。ここではマイナンバーの「収集方法」をキーワードに、マイナンバーを収集する前に準備しておくこと、収集方法における注意点、収集した後の取り扱いについて解説します。この記事で人気のテンプレート（無料ダウンロード）特定個人情報取扱記録簿のテンプレートマイナンバーを収集する前に知っておくべきことマイナンバー制度における...

人事労務の基礎知識

マイナンバーは外国人に対してどのような影響があるか

マイナンバー制度では、日本に住民登録のあるすべての人に個人番号を付番します。それは外国人であっても変わりません。外国人にもマイナンバー？外国人であっても、日本に住民登録をした場合、マイナンバーが付番されることになります。日本に中長期間在留する外国人は、在留カードの交付を受け、居住地を定めた日から14日以内に、居住地の市区町村役場に転入届を提出することになります。これにより住民登録がなされ、中長期在留する外国人のための住民票が作成されます。現在、日本に中長期在留する外国人はもちろん、今後日本に入...

※ 掲載している情報は記事更新時点のものです。

監修：涌井好文（社会保険労務士）
平成26年より神奈川県で社会保険労務士として開業登録を行い、以後地域における企業の人事労務や給与計算のアドバイザーとして活動を行う。退職時におけるトラブル相談や、転職時のアドバイスなど、労働者側からの相談にも対応し、労使双方が円滑に働ける環境作りに努めている。また、近時は活動の場をWeb上にも広げ、記事執筆や監修などを通し、精力的に情報発信を行っている。